Mетоди за откриване на подозрителна активност в компютъра

0
174

Здравейте ще ви представя методи за откриване на подозрителна активност в компютъра!

1-во…Наблюдавайте под око активността на връзката с мрежата.
(Control Panel => Network Connections => Properties => General => Show icon notification area when connected)Разбира се не е задължително това да се дължи на зловредни програми ,които използват мрежата. Може да е просто софтуера инсталиран на компютъра, който се обновява през интернет, но все пак не е нормално ако непрекъснато има такава активност (може да сте част от DDos атака). Други признаци е появата на съобщение за програмни грешки или липсващи файлове, бавна работа на мрежата, забавянето или пълния отказ на достъпа до принтера, „увисването“ на системата.

2-ро…Следете за напрегната работа на процесора. Неоправданото забавянето на компютъра може да е признак, че във фонов режим вървят злонамерени приложения или услуги. Отворете Task Manager-a (Ctrl + Alt + Del) изберете Performance. Когато работят приложения активността на процесора има сериозни пикове. После отидете в Processes и проверете, кой е източника на „загубените проценти производителност“.
Разбира се приложения като Process Explorer (www.sysinternals.com) също може да е от ползва или на този адрес ще намерите списък с услугите, които е нормално да очаквате да работят на PC-то ви! www.theeldergeek.com/services_guide.htm
Разбира се съществуват още доста програми (Security Task Manager, WinTasks 5 Pro, WinPatrol, ProcessPatrol, TaskInfo, TaskCatcher, TaskPatrol Personal – красив интерфейс, но много фалшиви тревоги засече драйвър на nVidia като особено опасен) и WEB сайтове с подобна цел (AnswersThatWork.com)


3-то…След премахването на „съмнителните“ файлове от процесите и услугите на Операционната Система е време да направим това и от MSCONFIG. (Start => Run => Msconfig => StartUp…) махнете отметките пред съмнителните обекти или използвайте програма за целта като Startup Mechanic. Тази програма сканира и освобождава операционната ви системата от недоброжелателни, рекламни, проследяващи и dialer компоненти, появили се при Интернет сърфиране. Startup Mechanic чувствително увеличава производителността на системата, като отстранява ненужните и излезли от употреба приложения и освобождава RAM памет. Друга полезна функция на програмата е автоматично запазване на изтритите компоненти в recycle bin-а.
System Mechanic Pro 6.0t също има подобни инструменти. Повечето съвременни програми разширяват базата данни за вече известни стартиращи с Windows приложения и ги добавят към „trustworthy“
Ако нямат информация за дадено приложение инсталирано на вашия компютър ще е с ранг „unknow“. Това не означава непременно че са паразити, но имайте едно на ум.
Естествено не мога да изброя всичките, но обърнете внимание и на Windows Startup Inspector. В базата си има данни за повече от 4,900 програми, които имат навика да се навират в StartUp-а.
Windows Startup Inspector извежда списък с всички самостартиращи се приложения, тяхното местоположение (както в регистрите, така и в харда) и дава своята оценка дали програмата е необходима за правилната работа на системата, дали е препоръчително да я имате или не.
Чрез нея можете да изключвате и нежеланите гости. Това е мощен ловец на spyware и adware.
Ако не може да ви предостави необходимата информация, тя ви насочва към online търсене в нейния сървър и Google.

http://www.windowsstartup.com/isw2.exeStartup Inspector 2.2
http://www.startupmechanic.com/Mechanic.EXEStartup Mechanic 2.8
http://download.ord.iolo.net/sm/6pro/trial…echanic6Pro.exeSystem Mechanic Professional 6.0t

Не сме свършили. Редактиране на регистъра + (Win.ini & System.ini).Отворете REGEDIT (Start => Run => regedit) и намерете тези ключове, които са потенциално застрашени от инфектиране.

Тези ключове трябва да съдържат само – „%1“ %*, нищо друго.

Hkey_Classes_Rootexefileshellopencommand
Hkey_Local_MachineSoftwareclassesexefileshellopencommand

Други ключове подложени на инфекция са:

Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunServices
Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRun
Hkey_Local_MachineSoftwareMicrosoftActive SetupInstalled Components

Премахнете от тези ключова обръщението към гадинките, които искате да премахнете. След рестарт би трябвало да можете да изтриете свързаните с троянските програми файлове без да се опасявате че ще се самоинсталират отново. Ако все още не можете да изтриете даден файл използвайте програми от рода на Unlocker или DELETE DOCTOR.
Троянски програми се маскират като системни драйвъри или услуги в раздела CurrentControlSet на регистъра. Програми като Webroot SpySweeper 4.5/5x (следи за TRACE – следи останали от вредители), a-squared Free, ewido anti-spyware 4 (следи за BINDER/ System Hooking – вариант когато троянеца се закача към системен интерфейс например ShellExecute и при някаква клавишна комбинация от клавиатурата може да се задейства). Малко по-агресивен метод е даден опасен модул да се прикрепи към няколко процеса и с помощта на winsock.dll троянеца може да се вмъкне във всеки процес използващ интерфейса на мрежовия канал Winsock на Windows или други уязвимости на О.С. => LSASS & DCOM vulnarabilities and exploits. Затова често обновявайте WINDOWS-a дали от главния сайт или с AutoPatcher в комбинация с firewall или друга система за превантивни мерки (IDS – Intrusion Detection System) като – PreEmpt (www.pivx.com) – бившия Qwik-Fix Pro…

http://www.kaldata.com/modules.php?…ion=show&id=251Webroot Spy Sweeper 5.0.7.1608
http://download4.emsisoft.com/a2FreeSetup.exeаВІ (a-squared) Free 2.0
http://www.grisoft.cz/softw/70/filedir/ins…_4.0.0.172c.exeEwido Anti-Spyware 4.0.0.172c

4-то…Контролирайте т.нар. BHO – Browser Helper Object (Internet Explorer => Properties => Programs => Manage Add-ons) От появата на SP2 лесно можете да изключвате съмнителните такива. Или просто използвайте програми за целта. SpyBot S & D 1.4 разполага с възможност за настройки на BHO. Програмата BHODemon беше прекратена, иначе беше доста добра.
Понеже повечето „троянски програми“ проникват чрез скрипт на ActiveX е добре да изключите съответните настройки. Най-лесно е да направите това (Internet Explorer => Properties => Security => Internet => Custom Level => давате плъзгача на High => Reset => Yes).

Internet Explorer, Настройки по сигурността

http://www.kaldata.com/forums/index…wtopic=9440&hl=


5-то…Все пак ако решите да използвате браузъра Internet Explorer не е зле да го имунизирате. Подходящи програми за целта са: Spybot Search & Destroy 1.4, Spyware Blaster 3.5.1, Spyware Doctor 4.0, CounterSpy 1.5.82, Advanced WindowsCare V2 beta 3.0. Не е зле да използвате и програма от рода на McaFee SiteAdvisor за да имате едно на ум за безопасността на съдържанието на сайтовете. Базата данни постоянно се увеличава и съдържа информация за доста web адреси в Интернет. Или поне проверявайте свалените файлове с помощта на Dr.Web anti-virus link checker!
ЗАБЕЛЕЖКА: НЕ ИНСТАЛИРАЙТЕ ТАЗИ ПРОГРАМА – Malware Immunizer 1.2
Не използвайте програмата Malware Immunizer 1.2. Тя съдържа само около 300-400 дефиниции и има малко странна технология за имунизиране на браузъра. Създава уж „безопасни“ файлове и папки със същото наименование и разположение, което използват истинските паразити с цел ако попаднете на някой такъв бацил в действителност той да не може да се инсталира на компютъра ви, защото вече го имате инсталиран като „безопасен вариант“ и истинската гадинка няма да може да презапише информацията на харда и сте защитени. Когато обаче сканирате с различни програми от рода на anti-malware те ще засичат безопасните файлове като вируси и ще затрият някои от тях, но не всички и ако после искате да премахнете и останалите от програмата като дадете „Remove all protection“ ще ви изпише грешка – CODE 53 – File not found и дори да преинсталирате Malware Immunizer 1.2 и почистите невалидните регистри и да я преинсталирате пак няма да успеете да ги премахнете. Писах на автора той казва че са напълно безопасни файлове и някой продукти за защита ги засичат, но е фалшива тревога (false positive). Препоръчва да се избягват подобен род софтуер за да няма конфликти. Спискък с програмите ще намерите в help файла след инсталирането на програмата.

http://www.siteadvisor.com/download/release/saSetup.exeMcAFee SiteAdvisor
http://www.drweb.com/online/drweb-online-en.regDr.Web anti-virus link cheker for MS Internet Explorer

6-то…Следете за отворени портове.В компютъра има 65 536 целеви порта. С тази програма можете да следите за подозрителна активност. CurrPorts е безплатна програма за намиране на отворени портове. Тя сканира и извежда всички отворени TCP/IP и UDP портове. За всеки port е показана информация – коя програма го използва, точният път до стартираното приложение и т.н. Освен това, CurrPorts ви позволява да прекратявате нежелани TCP свързвания; да прекъсвате процеси, които отварят портове; съхраняване на цялата TCP/UDP информация в HTML, XML файл. Приложението има функция за автоматично маркиране на подозрителните процеси с розово. Продуктът поддържа задаване на настройки от командната лента; снабден е с разноезичен интерфейс (на английски, френски, италиански, японски език), както и опция за собственоръчен превод; награден е от Sofotex, PC World Magazine, Lockergnome, TechTV…
Друга добра алтернатива е Port Detective 2.0 – Port Detective е безплатна програма, която ви помага да разберете, кои портове са блокирани от вашия router/firewall или Интернет доставчик. Често се случва не работещ порт да е причината за невъзможността дадена програма да тръгне. С помощта на този инструмент бързо можете да потвърдите или изключите тази вероятност. Port Detective идва при вас настроен да слухти за най-често използваните портове, но вие винаги можете да добавяте колкото си искате свои към списъка. Програмата извежда информация за това дали съответния порт в момента е блокиран, отворен или се използва от някоя програма на РСто ви. Информация за приложимостта на най-често използваните портове има на адрес http://www.portdetective.com/portinfo.html

Разбира се използването на една добра защитна стена ще разреши почти напълно този проблем. Вградената в Операционната Система върши работа, но сканира само входящия трафик, но ако вече троянец се е намъкнал и се опита да се свържи в нета за да изпрати поверителна информация FIREWALL-a на WinXP SP2 няма да реагира, затова по-добре се насочете към (ZoneAlarm ,OutPost ,Sygate ,Kerio и т.н.)
С командите „ping“ ще проверите дали връзката ви е активна и колко бързо реагира. Някой път връзката се разпада и тогава можете да направите следните неща:
Да пробвате с бутона „repair“ върху индикатора за връзката или с командата „netsh Winsock reset“ и да рестартирате. Добра програма е и XP TCP/IP Repair за тази цел:
Ако след като сте инсталирали Spyware и/или Adware програмки Интернета ви се е скапал, ако Интернет връзката ви се е забавила и вие не знаете защо или ако сте използвали Интернет оптимизатор и той вместо да подобри е влошил скоростта, то XP TCP/IP Repair може да ви помогне. Тази програма представлява графичен потребителски интерфейс за командите в Windows XP, които поправят TCP/IP настройките ви. Вместо да се опитвате да запомняте дълги и объркващи команди вече ще е достатъчно да натиснете само един бутон.
Освен XP TCP/IP Repair пробвайте и тази WinSock XP Fix.Tя е безплатна програма, която служи за автоматично поправяне на Интернет връзката при софтуерен проблем на РС-то ви (в случай, че се е повредила в следствие невалидни или премахнати редове от регистрите). Често, подобни проблеми се причиняват при отстраняване на Adware компоненти, неправилно деинсталиране на firewall програми или други инструменти, които имат навика да модифицират мрежовите и Winsock настройките на Windows XP


http://www.nirsoft.net/utils/cports.zipCurrports
ftp://ftp.portdetective.com/pdsetup.exePort Detective
http://www.xp-smoker.com/downloads/xptcprep.exeXP TCP/IP Repair
http://files.webattack.com/localdl834/WinsockxpFix.exeWinSock XP Fix7-мо…Дневник на активността и сигнализиране. WinXP SP2 има инструменти за анализиране на системата. (Start => Settings => Control Panel => Administrative Tools => Performance => Performance Logs and Alerts => Alerts. После с десния бутон върху празното поле изберете New Alert Settings. Задайте име и в раздел General => Add за да добавите брояч. Ще се отвори диалог и от падащия спискък изберете категорията RAS Total. В списъка по-надолу изберете Total Bytes Transmitted и в раздела General включете сигнализацията при надвишаване на указаната от вас стойност. Така всичко ще бъде записано в дневника).

8-мо…Включете показването на разширенията на файловете. Някои троянци/вируси се маскират примерно със следното наименование „картинка.jpg.exe“ за да може вие да видите само *.jpg разширението а *.ехе-то да остане скрито от Операционната Система (и от вас). Ето как става (Windows Explorer =>Tools => Folder Options => View махате отметката пред „Hide file extensions for know file types“. Можете да включите и „Show hidden files and folders“ а за напредналите изключвате „Hide protected operating system files (Recommended)“….“ В новата версия на iolo System Mechanic Pro 6 има специален инструмент „Fix Security Vulnerabilities“ в който най-много лично аз уважавам „File Associations => Dangerous Files Types“

Ето ви и видеоупътване за настройките за сигурност на Windows от M$…
www.microsoft.com/athome/security/a…pdateyourpc.asx

9-то…Ограничаване на потребителските акаунти. (Start => Control Panel => User Accounts => Create a new => въведете потребителско име => Next => Изберете Limited=> Create Account …) или (Start => Control Panel => Administrative Tools => Computer Management => Local Users and Groups => Users => New User => (след създаването на акаунта => Properties (в/у новия акаунт => Member of => Add (най – долу пишете Power Users). Така при работа в Интернет ще имате ограничени права и ще избегнете евентуални атаки от шпионски/троянски софтуер. Ако не се чувствате достатъчно сигурни можете да използвате програма за криптиране на данни като безплатната TrueCrypt. Винаги правете резервно копие на важните си данни (BACKups – Acronis TrueImage, Norton Ghost, Genie Backup Manager). Освен тях можете да се доверите и на тези инструменти: Bart PE Builder 3.1.10a, Ultimate Boot CD, Hiren’s BootCD 8.2, Diamond BootCD v1.00. Проверете файловете за „цифров подпис“ с „File Signatures Verification“, но дори и дадена програма да няма такава не е задължително да е паразит. Даже получаването на цифров лиценз е свързан с доста чакане и финансови загуби и малко компании могат да си го позволят.


10-то… (най-важното). Сканиране на системата със специализирани приложения.
Най-добрите в жанра за триене на шпионски софтуер са: Webroot SpySweeper, McaFee AntiSpyware 2006, PC Tools Spyware Doctor, Sunbelt CounterSpy, Trend Micro Anti-Spyware, eTrust PestPatrol, Microsoft Windows Defender beta 2, Lavasoft Ad-aware SE, Safer Networking SpyBot Search & Destroy
Най-добрите вирусо-трепачи са: Bitdefender 9, McaFee VirusScan 2006, Kaspersky Anti-Vurus Personal Pro 5/6, NOD32, F-Secure Anti-Virus 2006, Norton AntiVirus 2006, Panda Titanium 2006 Antivirus + Antispyware, AntiVir PersonalEdition Classic, Avast! Home/Pro Edition 4.6, AVG Free Edition
Най-добрите ловци на трояни са: a-squared Free (бившия Anti-Trojan 5.5.4xx), ewido anti-spyware (бившия ewido security suite/anti-malware – засичан доскоро от Everest Ultimate Edition като анти троянско приложение), Moosoft The Cleaner Pro 4.2, TDS 3.2.1 на DiamondCS (най-професионалния продукт за съжаление прекратен поради напредването на антивирусните програми авторите сметнаха за ненужно по-нататъчното му поддържане), SwatIt – най-добрия срещу ботове.
Най-добрите инструменти за откриване на новата заплаха (kernel-level rootkits) са: Webroot SpySweeper 4.5.709/5х, Ashampoo AntiSpyware 1.40, UnhackMe 3.1 beta, F-Secure BlackLight Beta Rootkit Eliminator, Aries Rootkit Remover, RootkitRevealer, BitDefender Rootkit Uncover 1.0 Beta 2
Разбира се има още много продукти, но доста от тях са „несериозни“ и даже „нелепи“.
Който и софтуер да изберете винаги обновявайте дефинициите му, спазвайте „хигиена“ при сърфиране (работа с архиви и прикачени файлове към електронната поща). Преди да пуснете проверка спрете функцията „System Restore“! Ако не ви се инсталира антивирусно приложение винаги можете да прибегнете до online помощ. Повечето скенери са безплатни, но не всички след извършената проверка изтриват гадината, но ви казват поне къде се намира и евентуално наименованието и след което на вас остава лесната задача да намерите информация за премахването точно за конкретната гадина или направо инструменти за пълното и отстраняване от регистрите и Операционната ви система (http://vil.nai.com ,www.symantec.com/avcenter). За напредналите потребители се препоръчва при съмнение използването на HijackThis или emsisoft HijackFree. Те ще направят анализ и ще запазят лог файлове и можете да се допитате до експертите в спрециализираните форуми.
Ето и линк към Специфични средства за борба с вредителите! и по-специално за SENTINEL, RemoveIt Pro XT, AVZ

http://www.kaldata.com/forums/index.php?sh…c=23033&hl=11-то…Проследяване на атаки с помощта на Visual Route 2006 (Shareware) и 3d Traceroutе 2.1.8:18 (напълно безплатна)

Features:
http://www.d3tr.de/

ScreenShot

Download:

http://www.d3tr.de/downloads/d3tr.exe

Visual Route 2006 Demo (15 days trial period)

download.visualware.com/pub/vr/vr.exe

Към тази точка ще добавя следене за пролуки с тези инструменти:

PreView – прекратена (може да не работи стабилно на някои системи)

http://tucows.fastnet.it/files2/preview-setup.exe

NeWT (Nessus-3.0.3-beta10.exe)

http://cgi.tenablesecurity.com/nessus3dl.p…a3d7477d60ef88d

Symantec Security Check

security.symantec.com/

GFI LANguard Network Security Scanner 7

http://software.gfi.com/languardnss7.exe

XSpider 7

http://www.ptsecurity.ru/download/xs7demo.zip

Shadow Security Scanner 7.55

http://www.safety-lab.com/SSS.exe

Програми за UPDATE на Windows (М$ Security Bulletin)

AutoPatcher

Представлява пакет с патчове и ъпдейти за WindowsXP потребителите. Доста удобно, тъй като не се налага да държите и инсталирате ъпдейтите поотделно, а можете да направите това с няколко кликвания на мишката.

http://www.kaldata.com/modules.php?…ion=show&id=615

Microsoft Baseline Security Analizer

Baseline Security Analyzer е една програма, която безспорно обира точките. При нея всичко е изпипано до максимум, за това свидетелства и името на автора й – Microsoft. Приложението е предназначено за проверка настройките, гарантиращи сигурността на компютъра ви. Интерфейсът й, както и нейните настройки са максимално опростени. Посредством еднократно натискане на някое от бутончетата й можете да сканирате зададените настройки на вашата машина. Но имайте на предвид, че Baseline Security Analyzer умее да работи и в мрежа – позволява ви от вашия компютър да проверите едно (или повече – цяла групичка отдалечено РС, намиращо се по LAN-а.

http://fileforum.betanews.com/sendfile/101…BSASetup-EN.msi

Microsoft Extended Security Update Inventory Tool 4.5
(Extended Security Update Inventory Tool is used to detect security bulletins not covered by MBSA including MS04-028, February 2005 bulletins, and future security bulletins that are exceptions to MBSA.)

http://fileforum.betanews.com/sendfile/111…XT_SCAN-ENU.exe

Proactive Security Auditor

Proactive Security Auditor FE е безплатна програма, която разпознава кои защитни ъпдейти (Security Updates) са инсталирани в операционната система на вашия компютър или друго РС по мрежата. След това може да намери, свали и инсталира избрани от вас пачове. За да можете да прецените от кои ъпдейти имате спешна нужда, Proactive Security Auditor FE показва нивото им на задължителност (критичен, важен, умерено нужен), размера, както и упътващо заглавие за предназначението на всеки един от тях. Инструментът не изисква никакъв допълнителен софтуер или библиотеки; сравнява миналите сканирания, за да следите кое обновление кога сте добавили; следи бюлетина по сигурността на Microsoft; при извеждане позволява филтриране на пачовете по различни критерии; генерира HTML доклади. Proactive Security Auditor FE поддържа намиране на ъпдейти за следните продукти на Microsoft: Windows NT/2000/XP/2003, Internet Explorer, Windows Media, Player, MDAC и MSXML, DirectX, Microsoft Office, IIS Server,
Exchange Server, SQL Server, BizTalk Server, Commerce Server,
ISA Server.

http://www.elcomsoft.com/download/psa_fe.zip

Belarc Advisor

Belarc Advisor сканира вашият компютър и създава подробен доклад за инсталирания софтуер и хардуер, включително Microsoft Hotfixes и серийните номера на програмите. Резултатите виждате във вашият браузър. Цялата информация се запазва сигурно на вашият компютър и не се изпраща на никакви сървъри в Интернет.

http://www.belarc.com/Programs/advisor.exe

12-то…Преди да инсталирате дадена програма прочетете внимателно лицензионното споразумение (EULA – End User Licensing Agreement) ,защото често присъствието на шпионски програми е достатъчно
добре описано.Ако при инсталацията изобщо не видите такова споразумение програмата е в голяма
степен съмнителна.
Ако все пак искате да пробвате такава програна не е зле да го правите чрез Run as…
Кликнете с десния бутон на мишката върху изпълнимия файл (програмката която искате да инсталирате) и изберете Run as. За да видите опцията Run as. върху мистериозно появилата се икона в Control Panel-a (*.cpl) ще трябва да задържите SHIFT.В диалоговия прозорец RUN AS изберете Current User и се уверете, че опцията Protect my computer and data from unauthorized activity е отметната. Натиснете OK. Когато програмата оперира в режим „protect my computer“, тя може да чете настройките на регистрите, но не може да ги модифицира. В допълнение ако твърдия диск е форматиран с файлова система NTFS, програмата е неспособна да изменя файловете асоциирани с настоящия профил (бисквитките, десктопа, My Documents). Това правете само с подозрителни програми а не с безопасни такива с които Операционната Система безопасно функционира. Лично аз пробвах тази функция, но така много малко програми можаха да се инсталират заради блокирането на *.tmp файловете, които програмите се опитваха да създават, но според експертите в сигурността това е едно доста полезно средство (особено ако нямате анти-вирусна програма с последните дефиниции).
Разбира се Run As служи и когато вече инсталирана програма на компютъра се нуждае от административни права за да може да стартира, ако имате няколко потребителски профила на компютъра или в момента сте с профил с ограничени права (Limited Users, Power Users) вместо да използвате „Switch User“ – (Start – Log off – Switch User) то пуснете програмката с помоща на Run As и изберете администраторския профил – стига да знаете паролата.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за