Hacking

Malware - Detecting

Upload Malware

Doporučujeme














Naše Bannery








Toplist




Diagnostika malwaru v PC

Dá sa vôbec zistiť aktivita malware v systéme?
    --- Áno, dá.

Môžem ju zistiť aj ja, neskúsený užívateľ?
    --- Dosť obtiažne.



Prv boli symptómy nákazy virom očividné. Brutálne spomalenie systému, nárazové spomalenie alebo kolaps systému, odpájanie netu, vysoká odozva, vyskakovanie reklám v prehliadačoch, vyťaženie systémových procesoch nad percentuálnu úroveň 80 a mnoho iných. Toto bolo aktuálne pred niekoľkými rokmi, keď hrali na virovej scéne významnú úlohu malware ako - VUNDO, browsers hijackers (známa varianta RENOS a jemu podobných desktop-browsers hijackerov, a ostatné podkategórie skupiny DROPPERS) KILL AV, FAKE AV, PUPER a mnoho iných.

V súčastnosti je to iné. Malware sa snažia čo najlepšie skryť a neprejaviť svoju aktivitu, čo by mohlo viesť k ich identifikácií, preto ich bežný užívateľ nevypátra. Samozrejme, pokiaľ nie je v počítači nejaká varianta spyware, ktorá sa snaží na seba upozorniť alebo niektorá z variánt spomenutých malware, ktoré sa sem-tam ešte vyskytnú.


V súčastnosti sú dosť rozšírené FAKE AV (Fake AntiVírus), čo je druh spyware vydavajúci sa za antivir alebo antispyware. Je to klasický neinštalačný súbor, ktorý po spustení začne poväčšinou sťahovať ďaľšie svoje časti z FTP a zavedie ich do systému. Niektoré FAKE AV už obsahujú svoje časti, takže pripojenie k internetu nevyužívajú alebo využívajú za účelom stiahnutia ďaľšieho svinstva. Takéto metodiky majú prakticky všetky malware, no po spustení infikovaného súboru FAKE AV sa zobrazí okno vymysleného antiviru, ktoré na nás kričí, že našlo v počítači vírusy a odstráni ich až vtedy, keď si zaplatíme full verziu podvodného neexistujúceho AV/ANTI SPY . Neviem si predstaviť, kto by za takýto "soft" platil, ale sú aj takí. Problémom je sa takéhoto otravného spyware zbaviť. 

Browser Hijacker je niečo podobné. Ten má za úlohu otravovať človeka pri prehliadaní stránok. Hádže reklamy, mení nastavenia stránok, mení defaultne nastavenú stránku, inštaluje poväčšinou nejaký pochybný toolbar, teda panel vyhľadávania alebo záložky v kartách prehliadača. Tým, že zavádza knižnice .dll ako BHO objekty a podobne, nie je v ovládacích paneloch a prakticky nie je ani nainštalovaný.

RENOS a podobné malware sú desktop-browsers hijackery, meniace okrem nastavení prehliadača aj nastavenia plochy - pozadie, sporič, vytvárajú blokácie (blokovanie zmeny plochy, zmeny nastavenia sporiča, nastavenia adresárov a mnoho iných).  

PUPERS  boli dosť pekné viry. Okrem enormného spomalenia systému sa bili s inými virmi. Ak by ste spustili viacero druhov PUPEROV alebo skombinovali napr. so ZHELATINOM a jeho variantách, tak pri troche štastia nespadnutia systému po určitom čase, by ste ho na ďaľší štart nespustili.

Toto bolo len zopár malwaru, ktorých prítomnosť sa dá pozorovať. U rootkitoch ako TDS, Sinowal... by ste nemali šancu.



Antivir antivirom

Veľa ľudí si myslí, že pokiaľ používajú Antivir, nemôže sa nič stať. Opak je pravdou. Najprv sú viry a až potom AV. Antiviry pri detekcii, ak nejde o Heruistickú Analýzu, musia mať v databázy (aktualizáciách) niečo, podľa čoho vir identifikujú. Ide o vyhodnotený zdrojový kód viru. Kód musia najprv analitici vyhodnotit. Vyhodnotia ho až vtedy, keď sa k ním vir dostane. Vir sa k nim dostane napr. cez honeypoty, ale hlavne cez nejakých užívateľov, ktorí ho odošlú na analýzu alebo uploadnú na virustotal, poprípade cez samotný antivir, ktorý podozrivý súbor odošle. Ale stále má vir prvotný kontakt s bežným užívateľom. V podstate, aký tvorca by posielal svoj vir najpr analitikom, čo by ho hneď zaradili do databázy?

Počnúc faktom, že denne pribúda desiatka nových virov alebo verzií, je dosť blbé a naivné sa spoliehať na moj antivir, aj keď ho neustále aktualizujem!

Dosť veľa ľudí sa pýta na to, aký antivir je najlepší. Väčšina si to tak trocha mýli. Dobrý antivir je dobrý z iných hľadísk ako len z tých, čo počúvam, a to sú: | má ho môj učiteľ, mám ho aj ja |, | zistil mi vírus, je najlepší |, | je to novinka, musí byť dobrý |, | videl som reklamu, je najlepší |, ... Ale skutočný dôvod nie je.

Ak mám povedať o nejakom AV, že je najlepší, músím ho patrične overiť. Nejde len o to, že mi zistí vir v keygene, ktorý som stiahol z warezu, ale aj o to, aby antivir spustený vir a nákazu dokázal odstrániť. Ak má AV upozorní, že som stiahol alebo mám vir a nedokáže sa ho zbaviť, tak isto nemôže byť najlepší. Samozrejme, že sú viry, ktoré žiaden AV pre bezpečnosť neodmaže. Tu sa to už medzi jednotlivými AV porovnáva a testuje. Iný prípad je ten, keď má AV časté falošné detekcie a odmazuje veci.. Svoje by vedel hovoriť AVG, s ktorým to bolo svojou dobou zúfalé.

O posledných testoch AV sa dočítate tu: Testy


A aký mám postoj na jednotivé AV ja?

Kaspersky AntiVírus - má veľmi dobrú databázu a spôsob liečenia. Bol označovaný ako vobec najlepší Antivir. Avšak jeho plusy dobehli mínusy a to v hroznom spomalení systému, čo tento antivir spôsobuje.

Avira AntiVir - veľmi dobrá databáza virov, dobré liečenie. Nežerie toľko systémových prostriedkov ako Kaspersky. Navyše, nové viry putujú odomňa rovno k nej.

Eset Nod - nie je schopný na mňa nakričať, keď prechádzam zložkami s totálne starými vzorkami virov. Jeho liečenie je totálne mizerné, tak ako aj virová databáza. Jediný plus, ktorý má, je žiadne alebo minimálne zaťaženie systému. Raz som ho skúšal a tým pádom aj posledný. Neviem prečo, ale mám pocit, že v niektorých inštitúciach sa používa ako predmetným objektom záujmu z čoho vychápať tak trocha nútenú reklamu práve na tento produkt na úkor ostatného bezpečnostného softu. Asi je to vecou jednosmernej politiky.  

Ostatné AntiViry nepoužívam.



Ako ďalej?

Ak nám počítač napríklad zamŕza alebo nám vyskakujú ku príkladu BSOD (Blue Screen Of Dead), nemôžeme prvým dojmom bez ďaľšieho overovania povedať, že problém je spôsobený virom alebo hardwareom. Existuje veľa diagnostických utilit, ktoré však nie je bežný užívateľ schopný použiť. Par krát som sa stretol aj s tým, že "technik" bez ďaľšieho overovania skonšatoval, že chybu spôsobuje iba HW. Pritom vieme, ze modrú obrazovku, obrazovku smrti, môže spôsobiť bežiaci proces, software (v dôsledku výrobných bugov), nakopnutie samotného systému, poškodené časti HW a mnoho iného. Takto to je prakticky so všetkými problémami systému.

Čo mám teda urobiť preto, aby som mal istotu, že je všetko v poriadku?
Ako som už spomínal v niektorých častiach webu, existujú špecializované fóra na ktorých odovzdáte systém do rúk skúseným rádcom a tí Vám poskytnú a poradia riešenia pre odstránenie problémov. Na fóre nemusíte požiadať o pomoc len vtedy, keď už problém máte, ale môžete aj požiadať o pravidelné preventívky Vášho systému.

Pre viac informácií kliknite tu: fórum .

 
Joomla ACL by AceACL