Viry útočí!

1. 7. 2007

Sdílet

Odhalte škodlivé programy podle jejich projevů Nejnovější škodlivé kódy se na počítačích skrývají velmi ...


Odhalte škodlivé programy podle jejich projevů


Nejnovější škodlivé kódy se na počítačích skrývají velmi důkladně a i ty nejspolehlivější antiviry často mají co dělat, aby je odhalily. V tomto článku vám prozradíme několik tipů a triků, které vás při odhalování všemožného škodlivého softwaru určitě přivedou na správnou stopu.
okud na vašem počítači antivirus neodhalí žádný škodlivý kód, nemusí to automaticky znamenat, že je váš počítač naprosto čistý. Dá se bohužel jen velmi těžko poznat, jak na tom skutečně je. Většina napadených počítačů totiž zdánlivě funguje tak, jak má. Programátorům škodlivých programů dnes totiž vůbec nejde o slávu, ani o čest. Chtějí jen jedno: vydělat peníze. Odhalení napadení počítače je daleko těžší než dříve. Pokud totiž dříve došlo k napadení počítače nějakým virem, pak tento virus o sobě dával vědět třeba hromadným smazáním určitých souborů nebo zobrazováním nejrůznějších hlášení.
Dnes jde spíše o to, aby útočník pomocí svých naprogramovaných pomocníků dostal pod svoji kontrolu pokud možno co nejvíce počítačů. Napadené počítače pak podrobně prozkoumá a posbírá data na nich uložená, popřípadě je zneužije k jiným účelům, například k vyděračským útokům na internetové obchody. Moderní škodlivé programy proto nejraději pracují v naprostém utajení. Programátoři virů dokonce pro ukrytí svých virtuálních útočníků před programy pro zabezpečení počítače používají třeba tak rafinované techniky, jako jsou rootkity (viz rámeček Tajná skrýš pro viry).
Na to, že je váš počítač napadený, mohou upozornit příznaky, které jsou na první pohled naprosto zanedbatelné. Každý z nich, pokud jej vezmeme jeden po druhém, však může mít celou řadu jiných příčin, jež mohou být naprosto neškodné. V tomto článku vám popíšeme ty nejdůležitější příznaky, jež mohou ukazovat na napadení vašeho počítače, a zároveň vám prozradíme, které neškodné příčiny může toto chování vašeho počítače mít. Všechny programy, které budete pro pátrání po škodlivých kódech potřebovat, samozřejmě naleznete .

Pomalý počítač

Virus: Napadený počítač, jehož úkolem je rozesílat viry nebo spam, má samozřejmě daleko méně času na jiné operace. Počítač se tedy pak logicky jeví jako pomalejší. Neškodná záležitost: Výkon každého počítače, na němž jsou nainstalována Windows, časem slábne. Příčinou je neustálé sbírání dalších a dalších souborů, programů a položek v registru. Počítač pak musí při stejném hardwarovém vybavení zvládat stále větší množství dat.
Tip: Nejprve zkuste zjistit, co váš počítač právě provádí. Prvním zastávkou při vašem zkoumání bude Správce úloh. Ve Windows 2000, XP a Vista jej spustíte pomocí klávesové zkratky Ctrl + Shift + Esc. Poté se přesuňte na záložku Procesy. Pomocí menu Zobrazit/Vybrat sloupce umístěte zatržítka před položky označující sloupce Název procesu, Identifikátor procesu (PID), Využití CPU, Čas CPU a Paměť (soukromá pracovní sada). Nyní klepněte jednou nebo vícekrát na záhlaví sloupce Paměť (soukromá pracovní sada), dokud se vám na nejvyšší úrovni nezobrazí proces, který spotřebovává největší množství paměti.
Samotný Správce úloh bohužel neposkytuje všechny informace, které můžete potřebovat. Například zde chybí informace o tom, kde leží soubor, který k danému procesu patří. Proto profesionálové raději než po Správci úloh sáhnou po zdarma dostupném programu Process Explorer 10.21. Nabízíme vám jej jako soubor PROCESSEXPLORER.ZIP o velikosti 1,46 MB, popřípadě si jej můžete stáhnout na internetové adrese www.microsoft.com/technet/sysinternals/ProcessesAndThreads/
ProcessExplorer.mspx. Aplikace Process Explorer totiž navíc zobrazí i umístění souborů, jež k danému procesu patří.
Pomocí stejného programu pak snadno můžete vystopovat všechny podezřelé procesy spuštěné na vašem počítači. Patří mezi ně například takové, které odkazují na různým způsobem zabalené soubory. Ty jsou v programu zvýrazněny sytě fialovou barvou.
Otázka důležitosti daného procesu pro operační systém se dá zodpovědět jen velmi nesnadno. Nejprve doporučujeme, abyste zjistili, které programy se vlastně při startu počítače spouští. Je logické, že aby se mohl nějaký program či proces spustit, musí mít někde v operačním systému nastavenu nějakou položku, jež spuštění umožní. Seznam programů spouštěných při startu Windows se dá zjistit kupříkladu pomocí utility Autoruns 8.61, kterou vám rovněž nabízíme jako soubor AUTORUNS.ZIP o velikosti 464 KB. Můžete si ji však také stáhnout z internetu z adresy www.microsoft.com/technet/sysinternals/ProcessesAndThreads/Autoruns.
mspx.
Po rozbalení souboru archivu spusťte poklepáním soubor AUTORUNS.EXE. Objeví se dialogové okno, v němž stiskněte tlačítko Agree. Otevře se okno programu s mnoha záložkami, přičemž pod každou záložkou naleznete spoustu položek, které odpovídají programům a procesům spouštěným při startu Windows. V žádném případě se nenechte množstvím položek nijak zmást. Mnohé jsou totiž zobrazeny pouze pro úplnost a je málo pravděpodobné, že by příslušely k nějakému škodlivému programu.
Podrobnější informace ke každé položce získáte přes pravé tlačítko myši, kde z kontextového menu, které se objeví, vyberete položku Properties, popřípadě můžete rovněž použít příkaz Search Online. Velmi užitečná je i položka Jump to, jež spustí Editor registru a v něm zobrazí klíč, v němž se daná položka vyskytuje.
Pakliže se vám nepodaří přiřadit nějakou položku k aplikaci nebo ovladači, pak ve sloupci Image Path naleznete údaj o tom, ve které složce se daný soubor nachází. Zda se jedná o škodlivý nebo naopak neškodný proces, se dozvíte z internetové stránky www.virustotal.com, kde stačí stisknout tlačítko Procházet, vybrat podezřelý soubor a poté stisknout tlačítko Send. Soubor se poté prověří 30 různými antivirovými programy v aktuálních verzích. Výsledky testování souboru získáte na těchto stránkách v závislosti na vytížení služby až za několik minut. Při našich testech jsme použili velmi dobře známý testovací soubor EICAR, který simuluje chování virů, a nechali jsme jej prověřit právě na adrese www.virustotal.com. Tak jednoznačný výsledek, jako jsme získali my, se však objeví jen zřídka. Výsledky jsou málokdy jednoznačné, protože nové škodlivé kódy dokáže často odhalit jen několik antivirových programů.
Upozornění: Pokud útočník používá pro napadení vašeho počítače rootkity, pak vám škodlivé procesy žádný antivirus nezobrazí. V tomto případě naleznete potřebné informace v rámečku Tajná skrýš pro viry.

Příliš aktivní provoz na síťovém připojení mezi počítačem a internetem

Virus: Pokud jste tak ještě neučinili, zapněte si na hlavním panelu zobrazování aktivity síťového nebo modemového připojení k internetu. Ve Windows Vista stačí v pravé části hlavního panelu klepnout pravým tlačítkem na ikonku síťových připojení a vybrat z kontextového menu příkaz Zapnout animaci činnosti. Ve Windows XP klepněte do nabídky Start/Ovládací panely/Síťová připojení, poté stiskněte pravé tlačítko myši na položce odpovídající připojení k internetu a z kontextového menu vyberte příkaz Vlastnosti. V dialogovém okně, které se objeví, pak umístěte zatržítko před položku Po připojení zobrazit ikonu v oznamovací oblasti.
V pravé části hlavního panelu nyní uvidíte blikat ikonku s obrázkem dvou počítačů. Blikání signalizuje přijímaní nebo odesílání dat. Pokud probíhá přenos dat i v okamžiku, kdy nepřijímáte ani neodesíláte e-mail a ani nesurfujete na internetu, pak to může být neklamná známka škodlivého programu na vašem počítači. Je totiž možné, že právě v tomto okamžiku virus komunikuje se svým autorem, popřípadě posílá do světa spam s Viagrou či různými inzeráty.
Neškodná záležitost: Na druhou stranu je na většině počítačů nainstalována celá řada aplikací, které neustále přistupují k síti nebo k internetu. Jedná se například o programy zajišťující aktualizace antivirových programů nebo samotných Windows. Dalším typickým příkladem jsou programy pro okamžitou komunikaci jako například MSN Messenger, které neustále odesílají a přijímají nějaká data, a to i tehdy, když právě s nikým nekomunikujete. Dnes existuje stále více aplikací, které samy dokáží na stránkách svých výrobců vyhledávat aktualizace sebe samotných. Mezi takové programy patří třeba Adobe Reader nebo Java Runtime od firmy Sun.
Tip: Pro analýzu síťového provozu můžete zdarma využít utilitu TCPView 2.40 od Microsoftu. Najdete ji , popř. ji můžete stáhnout z internetové stránky www.microsoft.com/technet/sysinternals/Networking/Tcp-View.mspx jako soubor TCPVIEW.ZIP o velikosti 94 KB. Po rozbalení archivu spusťte poklepáním soubor TCPVIEW.EXE. Poté uzavřete všechny programy a počkejte asi tři minuty, dokud se neukončí všechna jejich připojení přes protokol TCP/
/IP. Všechna připojení, která se pak naváží nebo která zůstanou, pak mohou ukazovat na přítomnost virů.
Každé takové spojení prozkoumejte daleko důkladněji: zjistěte IP adresu cílového počítače, popřípadě název domény. Klepněte v programu na dané připojení pravým tlačítkem myši a z kontextového menu vyberte příkaz Whois. Po chvíli se zobrazí dialogové okno s údajem, komu daná IP adresa vlastně patří. Velmi často zde potkáte velmi neškodný výsledek "Akamai Technologies". Jedná se o firmu, která poskytuje internetové služby pro celou řadu velkých firem.
Pokud vám příkaz Whois nevrátí žádné použitelné informace, pak si poznamenejte název domény či IP adresu a otevřete v internetovém prohlížeči stránku s adresou www.dnsstuff.com. Uprostřed stránky ve sloupci Domain Name Tests zadejte do políčka WHOIS Lookup název domény (bez http:// a www.). Pokud se vám jako výsledek vrátí poskytovatel z Číny nebo Ruska, pak se s velkou pravděpodobností může jednat o škodlivý program, který právě komunikuje se svým tvůrcem.
Pokud máte k dispozici pouze IP adresu, pak ji zadejte ve sloupci IP Tests do políčka Reverse DNS lookup. Pokud bude IP adresa odkazovat na nějaký obyčejný počítač připojený prostřednictvím ADSL nebo modemu, je to nanejvýš podezřelé. Poznáte to podle řetězce "dsl", "client" nebo "dialup".
Upozornění: Pokud útočník používá rootkity, pak příčinu příliš aktivního internetového připojení pomocí programu TCPView nezjistíte. V tomto případě si přečtěte rámeček Tajná skrýš pro viry.

Podezřele aktivní pevný disk

Virus: I když na počítači nic neděláte, pracuje pevný disk na plné obrátky, protože kontrolka činnosti pevného disku neustále svítí. Pokud vy sami nepotřebujete na pevný disk přistupovat, pak jej logicky využívá někdo jiný a může to být klidně nějaký škodlivý program.
Neškodná záležitost: Velké zatížení pevného disku může mít řadu příčin, které jsou naprosto neškodné. Některé programy využívají nečinnosti počítače k tomu, aby provedly některé operace, na něž nemají jinak čas. Jedná se třeba o službu indexování ve Windows nebo o různé programy pro prohledávání obsahu počítače, které potřebují znovu indexovat změněné nebo nově vytvořené soubory. Další příčinou aktivity pevného disku může být činnost antiviru, který provádí kompletní kontrolu obsahu pevného disku, čímž využívá plný výkon počítače, pokud na něm uživatel právě nepracuje. Nečinnosti počítače využívá i řada programů pro správu systému, které provádí kupříkladu defragmentaci pevného disku.
Tip: Otevřete antivirový program nainstalovaný na vašem počítači a klepněte do příslušných menu tak, abyste dokázali zjistit, zda právě neprobíhá testování celého systému. Pokud v okně antiviru uvidíte postupující sloupeček nebo rychle se měnící názvy souborů, pak je vše jasné příčinou zatížení pevného disku je antivirový program.
Kromě výše uvedeného klepněte do nabídky Start/Všechny programy/Příslušenství/Systémové nástroje/Plánovač úloh (ve Windows XP Naplánované úlohy). Možná je zde nastaveno opakované provádění některé z úloh pro správu systému, například defragmentace disku nebo automatická aktualizace některých programů.

Neočekávaná zatuhnutí systému

Virus: Napadený počítač zatuhne daleko častěji než počítač zdravý. Neskrývá se za tím kupodivu žádný zlý úmysl autora viru, ale spíše nedostatek času, který autor škodlivého programu věnoval testování svého viru. Díky tomu se často během činnosti škodlivého programu vyskytují chyby, které na napadeném počítači způsobují jeho zatuhnutí.
Neškodná záležitost: Windows a na něm nainstalované aplikace nepotřebují k tomu, aby zatuhly, žádný škodlivý program. Tyto neškodné programy často přestanou samy odpovídat v okamžiku, když do nich nainstalujete chybné systémové soubory, pokud dojde ke konfliktu ovladačů, nebo když se vyskytne chyba z důvodu špatného naprogramování aplikace. Pád systému nebo ovladače ovšem nemusí nutně způsobovat pouze program, často leží vina na straně hardwaru. Příčinou zatuhnutí systému často bývají především poškozené, špatně sestavené nebo nedostatečně chlazené komponenty.
Tip: Pokud dojde k zatuhnutí systému, popřemýšlejte, který program nebo jakou aktualizaci jste do systému integrovali před tím, než se začaly objevovat problémy s počítačem. Poté se u výrobce programu pokuste vyhledat nějakou radu nebo pomoc. Pokud se při zatuhnutí programu objeví nějaká chybová hlášení nebo chybové kódy, poznamenejte si je a poté je zadejte do vyhledávače Google.
Problémy s hardwarem se řeší daleko hůře. Řešení spočívá v důkladném otestování všech komponent za pomoci speciálních aplikací.

Poškozený antivirový program

Virus: Je logické, že pokud nějaký škodlivý program pronikne do počítače, pak nestojí o to, aby jej někdo odhalil. Proto se řada červů a trojských koní snaží antivirový program nějakým způsobem vyřadit z provozu. Jak to dělají? Buď červ ukončí všechny procesy, které patří k antivirovému programu, nebo přesměruje internetové připojení k serveru výrobce antiviru tak, aby ukazovalo na nějaký neexistující server. Antivirový program sice poté funguje dále, ale nedokáže stahovat aktualizace.
Jiné škodlivé kódy zase využívají toho, že většina uživatelů pracuje s účtem správce počítače. Tato práva potom získá i škodlivý kód, takže pro něj není žádný problém soubory příslušející k antiviru jednoduše při příštím spuštění počítače smazat.
Neškodná záležitost: Když na počítači z nejrůznějších důvodů nelze spustit antivirový program nebo ho nelze aktualizovat, pak zbystřete pozornost. Nemusí to samozřejmě nutně znamenat, že se na počítači vyskytuje nějaký červ nebo virus. Možná se během poslední aktualizace do počítače špatně přenesl nějaký soubor, a proto antivirus nefunguje. I to se u nás v redakci u námi používaných antivirů známých jmen několikrát stalo. Nemožnost provedení aktualizace programu může mít poměrně neškodné příčiny: možná je problém s připojením k internetu, nebo je přetížený server s aktualizacemi u výrobce antiviru.
Tip: Jestliže se vyskytnou nějaké problémy s antivirem, neváhejte se informovat o možných příčinách na internetu, kde lze najít i rady, jak problémy vyřešit. Nepodaří-li se vám dostat na internetovou stránku výrobce antiviru a přitom se na jiné stránky dostanete bez problémů, pak chybu hledejte v nějakém škodlivém kódu, který pravděpodobně pozměnil systémové soubory ve vašem počítači.

Rozmarné chování systémových programů

Virus: Škodlivé programy velmi rády doslova trápí některé systémové programy, zejména ty, které slouží pro vyhledávání a opravu chyb v operačním systému. Pokud při spuštění programů Správce úloh nebo Editoru registru dochází k jejich okamžitému ukončení, pak je to velmi výrazný signál toho, že se ve vašem systému usídlil nějaký škodlivý kód.
Neškodná záležitost: Pro toto prapodivné chování některých systémových programů lze nalézt jen velmi málo důvodů, jež by nesouvisely s viry. Správce systému například může přihlášeným uživatelům zakázat takové programy spouštět, jenže v tomto případě se objeví odpovídající dialogové okno s upozorněním. Dalším vysvětlením může být poškození souborů programu, k němuž došlo z nějakého závažného důvodu. Příčinu je nutno hledat v samotném pevném disku.
Tip: Proveďte na počítači všechny úkony uvedené v tomto článku a nakonec důkladně prověřte některým z testovacích programů stav pevného disku.

Vyhlášení války škodlivým kódům

Pokud váš počítač vykazuje všechny znaky napadení škodlivými programy, pak je nutné jej co nejdříve vyčistit. Velký problém při čištění počítače spočívá v tom, že prakticky každý škodlivý program si k sobě z internetu stahuje další neznámé soubory. Mnohdy se v systému provedou takové změny, které antivirové programy nemají šanci odhalit. Podle mínění odborníků na bezpečnost proto nestačí pouze odstranit škodlivé programy z počítače. Ideálním řešením je v tomto případě úplně nová instalace systému. Bezpečnostní experti tento názor obhajují pomocí analogie s původním významem sousloví "trojský kůň". Dřevěný kůň byl sice zlikvidován, ale Řekové (v našem případě viry), kteří byli uvnitř tohoto koně tehdy schováni, už ve městě (potažmo tedy ve vašem počítači) zůstali.
I Microsoft radí napadený systém smazat a nainstalovat kompletně znovu. My se k tomuto názoru rádi přidáváme s dovětkem, že nikdo nemůže tušit, jaké změny útočník v napadeném počítači vlastně provedl. Nejprve na externí médium (vyměnitelný disk USB, CD nebo pevný disk) zálohujte všechna osobní data (dokumenty, obrázky, e-maily, kontakty apod.). Poté zformátujte systémový diskový oddíl, nainstalujte Windows a všechny používané programy.
Nechcete-li Windows instalovat znovu, doporučujeme počítač otestovat několika antivirovými programy. Pro tento případ jsme pro vás připravili užitečný nástroj s názvem Multi AV Scanning Tool 5.01. Ten dokáže načíst až čtyři různé antivirové programy pracující na příkazovém řádku, včetně nejaktuálnějších virových definicí. Po stažení potřebných souborů spustí Multi AV Scanning Tool automaticky kompletní test pevného disku. Program najdete jako soubor MULTI_AV.EXE o velikosti 679 KB.7 0279/OK o

Registr Windows

Registr je zvláštní druh databáze, kterou používají Windows. Díky registru např. Windows poznají, jakým způsobem mají pracovat s různými typy souborů.

IP adresa

Každý počítač připojený do počítačové sítě potřebuje pro komunikaci s ostatními počítači jednoznačnou adresu. Tato adresa se nazývá IP adresa a skládá se ze čtyř maximálně trojciferných čísel oddělených tečkou (např. 82.10.207.13). Každé ze čtyř čísel může nabývat hodnot mezi 0 a 255 včetně. Doménam
Typickou ukázkou domény je řetězec www.
pcw.cz. Jedná se o adresu, pod kterou je nějaký počítač přístupný na internetu. Domény se obvykle skládají ze tří částí. První část představuje název subdomény (například www). Poté následuje název domény (pcw). Nakonec se uvádí tzv. doména nejvyšší úrovně (Top Level Domain). Ta označuje název země (cz znamená Českou republiku), popřípadě obor zájmu, kupříkladu biz pro podnikání.

Tajná skrýš pro viry

Typický škodlivý program obsahuje alespoň jeden spustitelný soubor, má v registru uvedenu alespoň jednu položku, a pokud se spustí, odpovídá mu alespoň jeden proces a jemu příslušná síťová připojení. Všechny prvky se za normálních okolností dají odhalit pomocí nástrojů popsaných v tomto článku, ovšem s jednou výjimkou pokud útočník nepoužívá tzv. rootkity. Jedná se o něco, co by se dalo připodobnit skrýši pro viry. Tvůrci virů pomocí rootkitů skryjí jeden nebo klidně i všechny součásti každého škodlivého kódu, o nichž jsme mluvili výše. Škodlivé kódy pak neobjevíte ani s pomocí Průzkumníka Windows, Editoru registru, Správce úloh a nepomůže vám ani program TCPView.
Tak docela neviditelné ale takové škodlivé kódy přece jen nejsou . Existují totiž programy, které dokáží tyto skryté viry odhalit. Například finská firma F-Secure, která se zabývá vývojem nástrojů proti virům, nabízí na internetové stránce www.f-secure.com/blacklight/try_blacklight.html pod názvem FSecure Blacklight nástroj pro odhalování rootkitů. Tento nástroj je obsažen i v balíčku pro zabezpečení počítače s názvem F-Secure Internet Security 2006 nebo 2007.
Další nástroj proti rootkitům se nazývá Gmer 1.0.12. Nabízíme vám jej , popřípadě si jej můžete stáhnout na internetové adrese www.gmer.net jako soubor GMER.ZIP o velikosti 483 KB. Po rozbalení archivu spusťte poklepáním soubor GMER.EXE a v okně aplikace se přesuňte na záložku Rootkits. Vyhledávání rootkitů zahájíte stiskem tlačítka Scan. Skryté položky se budou označovat pomocí řetězce "hidden". Před použitím programu doporučujeme navštívit a přečíst stránku věnovanou často pokládaným dotazům (na adrese www.gmer.net/faq.php). Další programy pro odhalování rootkitů nabízí na internetové stránce www.sophos.com/products/freetools/sophos-anti-rootkit.html pod názvem Sophos Anti-Rootkit firma Sophos, nebo také můžete použít nástroj RootkitRevealer 1.71 od Microsoftu, který najdete , popřípadě na internetové stránce www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx jako soubor ROOTKITREVEALER.ZIP o velikosti 225 KB.

Antivirové programy dostupné on-line

Šance na odhalení nebezpečného programu se ve vašem počítači automaticky zvýší, pokud pevný disk otestujete hned několika antivirovými programy. Jde o to, že každý antivirový program vyrábí jiná firma a používá pro odhalování virů jiné metody a virové databáze. Co jeden antivirus nenajde, může snadno odhalit jiný. Pravidelní čtenáři našeho časopisu jistě vědí, že více než jeden antivirový program nainstalovaný na jednom počítači rovná se problém. Chcete-li tedy testovat počítač více antivirovými programy, musíte se poohlédnout na internetu po tzv. on-line verzích antivirů.
Před spuštěním on-line antiviru je nutné klepnutím pravým tlačítkem na ikonku antiviru instalovaného na počítači tento vypnout, neboť by mohl záporně ovlivňovat činnost on-line antiviru.
Většina antivirových programů bohužel funguje pouze v Internet Exploreru. Výjimkou je antivirus od firmy Trend Micro, který běží pouze ve Firefoxu, musíte však mít instalované rozhraní Java Runtime.