Fertőzött vagy nem?

2013. április 03. 12:01 - Csizmazia Darab István [Rambo]

Villám-összefoglaló röviden, mire figyeljünk, mik lehetnek gépünkön a legfontosabb gyanús jelek.

Csodák nincsenek, ha illetéktelenek távolról használják a gépünket, akkor az produkál jelenségeket, bár a modern kori kártevők kétségkívül elsősorban a rejtőzködésre gyúrnak. Röviden öt pontban felsoroljuk, mikor kezdjünk gyanakodni, aki pedig nem siet annyira, a cikk végén hivatkozott korábbi, hosszabb és részletesebb összefoglalónkat is megtalálhatja.

1. Pörög a CPU, magasan a rendszerterhelés
Ha mi magunk éppen nem konvertálunk videót, vagy futtatunk tömörítést, archiválást, vagyis semmilyen különösebben számításigényes feladat nem fut még a háttérben sem, akkor ez intő jel lehet. Az újabb fajta botnetes kártevők már olyan komolyabb feladatokat is végeztethetnek a gépünkkel, mint a jelszavak próbálgatásos feltörése (bruteforce) vagy a Bitcoin bányászat. Próbáljunk a végére járni: például nézzük meg Feladatkezelőben, mi pörgeti a processzort, vagy haladó felhasználók a SysInternals féle Process Monitort, Process Explorert is bevethetik.

2. Nagy mennyiségű internetes adat halad át a gépünkön
Ha mi magunk éppen nem töltünk le vagy fel méretes állományokat, akkor ez intő jel lehet. Sok botnet arra használja a fertőzött gépek (zombik) kapacitását, hogy elosztott túlterheléses támadásokban vesznek részt, nagy mennyiségű spam levelet küldetnek ki róla, illetve a botnet vezérlő szerverrel (C&C) való kapcsolattartás is forgalmat generál. Ha drámaian lelassul az internetünk - bár a WiFi le van jelszavazva, és a DHCP kliens listán sincsenek illetéktelen eszközök - úgy próbáljunk a végére járni: futtassuk a Network Activity Monitort, nézegessünk tűzfal naplókat. Mivel a mai monitorok és noteszgépek is egyre inkább a 16:9 szélesvásznú képarány szerint készülnek, hasznos ötlet, ha az egyik szélen widgetekkel, vagy más módon folyamatosan szemmel tartjuk erőforrásaink pillanatnyi állapotát.

3. Ismeretlen fájlok tűnnek elő a merevlemezen.
Egész pontosan az elsődleges partíciónkon, ugyanis számos kártevő dob ki magából vagy tölt le további kártékony állományokat. Ha látunk ilyen gyanús állományokat - különösen ha törlés után újra generálódnak -  akkor ez intő jel lehet. Próbáljunk a végére járni: keressünk rá az interneten az ilyen fájlok nevére, hátha valamilyen ismert kártevőhöz kapcsolódnak, és itt is aktuális a korábbi megállapítás: futtassunk egy teljes ellenőrzést. Ha van lokálisan telepített és rendszeresen frissített biztonság programunk, akkor azzal, ha nincsen, akkor az online ellenőrzés a mi barátunk, például az ESET Online Scanner.

4. Ismerőseink jeleznek, hogy folyamatosan furcsa üzeneteket kapnak tőlünk
Pedig mi nem is küldtünk éppen ilyeneket. A fertőzött számítógépek esetében sokszor találkozunk azzal, hogy a kártevő a nevünkben kéretlenül automatikusan üzeneteket generál a csevegési vagy email címjegyzékünkből kiolvasható partnereinknek. Próbáljunk a végére járni: végezzünk teljes vírusellenőrzést, akár az internetkapcsolatunk ideiglenes megszakítása mellett.

5. A képernyőt ellepik a különféle vírusriasztások ablakai
Ez különösen akkor aggasztó, ha sosem hallott víruskereső - például Antispyware Pro XP, Windows Antivirus, Master Antivirus 2009, Micro Antivirus 2009, Perfect Cleaner, PersonalAntiSpy - adja kéretlenül a riasztást felbukkanó (popup) ablakban. Próbáljunk a végére járni: távolítsuk el a hamis antivírust, és telepítsünk valódit. Ha védtelen volt a gépünk, akkor az ilyen hamis programok eltávolítása kézi módszerrel sokszor igen körülményes, keressünk hozzá részletes útmutatót (Removal Guide), vagy használjunk valamilyen automatikusan működő segédprogramot: például az ESET Rogue Applications Remover-t.

Ne feledjünk, ahhoz hogy valamit kontroll alatt tarthassunk, megfelelő eszközökre van szükség: hosszútávon legjobb a helyben telepített komplett internetbiztonsági csomag, a semmi helyett jó lehet az egyszerű antivírus is, a tűzoltáshoz pedig az online keresőket vehetjük használatba a legegyszerűbben. Korábbi tíz gyanús jelet összefoglaló posztunkat pedig e helyütt lehet elolvasni.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

fidesz = házmesterek pártja 2013.04.06. 19:26:26

Pár perce eszembe jutott ez a bejegyzés.
Szerinted ha ilyenből látok a routeremen, a netstat-nat kimenetében kb. 10-15 sort:

udp belső-cím:137 külső-cím:137 UNREPLIED

Ahol a "belső-cím" a LAN-on lévő windows7, a "külső-cím" meg egy nemrég meglátogatott website címtartományába tartozó cím, akkor kezdjek aggódni, hogy bár a víruskeresőim semmit sem találtak, talán mégis van valami disznóság a gépemen?
Vagy csak hülye vagyok és valamit rosszul állítottam be a tűzfalamon, ami miatt bizonyos nem kívánatos forgalmak kijutnak a WAN-ra is?
süti beállítások módosítása