Если при работе в Windows вы постоянно сталкиваетесь с какими-то неприятностями, не спешите винить во всем Microsoft. Причина может быть совсем в другом — CHIP расскажет о типичных проблемах, вызываемых хакерскими атаками.
Многочисленные полезные программы, а также сама операционная система, безусловно, облегчают нашу повседневную жизнь, но при этом могут представлять серьезную угрозу для ПК и пользовательских данных, так как изобилуют уязвимостями в системе безопасности. Такая ситуация на руку хакерам, которые ежедневно выпускают в Интернет более 60 000 новых вирусов. Это подтверждают и данные компании Panda Security, согласно которым каждый второй пользователь хотя бы один раз в жизни сталкивался с заражением компьютера вредоносным ПО. Симптомами подобной проблемы являются высокая нагрузка на систему, медленное соединение с Интернетом и появление сообщений о необычных ошибках.
Но прежде чем приступить к устранению неприятностей, вызванных хакерскими атаками, необходимо исключить вероятность других причин, таких как ошибки в ПО или проблемы с драйверами. В этом вам помогут советы из данной статьи, а также программы, размещенные на нашем диске.
Компьютер предупреждает о заражении: поддельный антивирус?
Вероятность атаки: высокая
Всплывающие окна сообщают вам о том, что компьютер плохо защищен от вирусов или уже заражен. Но подобная забота может иметь неприятные последствия для операционной системы.
Проверка защиты. Вы любите острые ощущения и путешествуете по Сети без брандмауэра и антивируса? В этом случае предупреждения могут быть обоснованными. Например, когда Центр обеспечения безопасности Windows регулярно сообщает об отсутствии защитных программ. Установите антивирус, желательно коммерческий и обладающий высокой надежностью. Свежие версии популярных пакетов имеются на нашем DVD.
Отражение атак поддельного антивируса. К сожалению, не все готовы платить за безопасность, тем более что из Интернета несложно скачать бесплатный антивирус. И не исключено, что он будет работать очень старательно, каждые две минуты обнаруживая новые инфекции.
Такие программы пугают пользователей, склоняя их к покупке дорогого и абсолютно бесполезного защитного ПО или определенному поведению, которое позволит хакерам совершить более опасную атаку. Как показывает практика, эта бизнес-модель работает вполне успешно.
Большинство подлинных антивирусов способны распознавать и удалять подделки. В противном случае следует изучить папку автозапуска, реестр и все временные директории на предмет сомнительных записей и стереть их в случае обнаружения. Также может понадобиться устранение изменений в системных файлах Windows с помощью установочного диска ОС. Проще всего воспользоваться функцией восстановления, вызвать которую можно при загрузке с данного носителя. При этом все действия следует выполнять в безопасном режиме. Если вы не уверены, является ли файл неблагонадежным, доверьте его оценку команде из VirusTotal. Клиент этого сервиса, имеющийся на нашем DVD, позволяет быстро загрузить данные для проверки.
Медленное соединение: троян?
Вероятность атаки: средняя
Посещение сайта www.chip.ua доставляло бы огромное удовольствие, если бы не чрезвычайно долгая загрузка страниц. И мы в этом не виноваты — причиной могут быть проблемы маршрутизации или деятельность трояна.
Повторная установка соединения. Завершите сеанс и перезапустите браузер. Так вы будете направлены по другому маршруту, что часто влияет на скорость. Если улучшений не последует, причина может быть в проблемах со стороны провайдера или несовместимости дополнений. Но скорее всего ПК заражен.
Выслеживание трояна. Эта разновидность вирусов работает как обычное ПО для удаленного управления компьютером. Злоумышленник, захвативший ваш ПК, получает такие же права и возможности по работе с ним, какие есть у вас.
Для обнаружения вируса завершите работу всех программ, которые используют интернет-соединение (браузер, почтовый клиент и т. д.), и запустите Диспетчер задач Windows. Если на вкладке «Сеть» отображается информация о серьезном трафике, скорее всего это свидетельствует об активной работе трояна. Подобные вирусы зачастую имеют плохое качество исполнения и состоят из цельных блоков, что обуславливает высокую нагрузку на процессор, являющуюся одним из симптомов нападения.
От троянов можно избавиться с помощью современных антивирусов. Кроме того, чтобы гарантированно устранить такого рода вредоносное ПО, воспользуйтесь программой TrojanHunter (есть на нашем диске).
Компьютер сошел с ума: «веселый» вирус?
Вероятность атаки: высокая
Рабочий стол перевернут вверх ногами, диалоговые окна содержат сообщения на непонятном языке, а из наушников доносится злорадный смех — кто же этот неизвестный шутник?
Доказательство прорыва защиты. В подобной ситуации можно сразу исключить вероятность программных ошибок и заняться расследованием. Очевидно, что ваш компьютер заражен «веселым» вирусом, — осталось установить подробности и найти средства борьбы.
Первым делом следует ознакомиться с журналом событий Windows. В разделе «Безопасность» вы увидите, кто и когда получал доступ к вашему компьютеру. Обнаружив подозрительное имя, посмотрите в «Приложениях», какое ПО при этом было установлено. Кроме того, программа USBDeview позволяет выяснить, не попал ли вирус на ваш ПК со съемного USB-носителя, а также узнать тип данного накопителя.
Конец шуткам. Избавиться от безвредной «веселой» программы несложно: после получения сведений о ней из журнала событий Windows просто удалите все ее компоненты. Благодаря современным антивирусам на подобные «розыгрыши» можно не обижаться.
Компьютер работает очень медленно: ботнет?
Вероятность атаки: средняя
На загрузку Windows уходит целая вечность, да и приложения запускаются с такой же скоростью. Система просто замусорена или в ней поселился опасный вирус?
Очистка жесткого диска. Сильная фрагментация, обилие ненужных файлов и недостаток оперативной памяти тормозят работу операционной системы и приложений. Избавьтесь от всего балласта с помощью утилиты CCleaner, а в заключение осуществите дефрагментацию, используя Defraggler. Последняя программа, в частности, проверяет техническое состояние жесткого диска. Оба средства вы найдете на нашем DVD. После всех этих действий перезапустите ОС, чтобы разгрузить оперативную память. Если скорость не изменится, то стоит поискать в системе непрошеных гостей.
Обнаружение бот-трояна. Данный тип вредоносного ПО превращает компьютер в безвольного раба. После заражения он вместе с другими жертвами будет выполнять команды, поступающие от владельца бот-сети. Естественно, это сказывается на производительности ПК.
Чтобы выяснить, не этот ли троян является причиной проблем, сначала закройте все программы — даже те, которые работают в фоновом режиме. Затем запустите Диспетчер задач и перейдите на вкладку «Быстродействие». При большом значении «Загрузки ЦП» нужно бить тревогу: очевидно, что в фоновом режиме компьютер выполняет подозрительные действия, которые вы ему не поручали.
Поскольку бот-троян часто не распознается антивирусами и брандмауэрами, помимо обычного пакета утилит для безопасности необходимо использовать специальные программы, такие как Radix Antirootkit (есть на нашем диске). Для более тщательной проверки лучше всего записать ее на загрузочный носитель, например USB-«флешку», и открыть с него. В противном случае работе Radix Antirootkit будет мешать файловая защита Windows.
Браузер работает сам по себе: захват?
Вероятность атаки: средняя
Браузер самостоятельно запускается и отображает определенный сайт. Или же во время сессии открывается сразу несколько окон.
Изменение домашней страницы. В Internet Explorer компания Microsoft установила в качестве стартовой страницы http://go.microsoft.com. Пока вы не поменяете ее в меню «Сервис | Свойства обозревателя | Общие», после запуска браузер всегда будет открывать данный сайт. Точно так же свежий Firefox всегда переходит на страницу Mozilla. Эти процессы предусмотрены производителем. Если же в окне браузера появляется пикантный контент или всплывают окна, приглашающие установить подозрительные утилиты, значит, его захватили.
Разоблачение похищения. Многие антивирусы, а также программа SpyBot Search & Destroy распознают вредоносное ПО для захвата и бесследно его удаляют. В сложных случаях используйте HijackThis (обе утилиты есть на нашем DVD). Последняя анализирует процесс и создает лог-файл, который вы можете скопировать в текстовое поле на сайте www.hijackthis.de/en. Затем нажмите на «Analyze». Полученная информация поможет удалить вредоносное ПО.
Пакет комплексной защиты отказывается работать: червь?
Вероятность атаки: средняя
«Работа брандмауэра Windows была завершена», — сообщает операционная система, но пользователь ничего для этого не делал. Это просто сбой или следствие деятельности вредоносного ПО?
Проверка зависимости. Для нормальной работы брандмауэра Windows очень важна служба «Вызов удаленных процедур» (RPC), которая обладает печальной репутацией по вине червя под названием Blaster. Если вследствие деятельности последнего старательная программа обеспечения безопасности отключает службу RPC, то сама перестает работать или существенно ограничивает функциональность.
Такую зависимость иногда можно наблюдать и в случае с имеющимися в продаже пакетами утилит для комплексной защиты. Когда из строя выходит хотя бы один компонент, следует вспомнить о подобной связи. Лишь в самых редких случаях речь идет об обычном программном сбое. Если же отказывают все компоненты приложения или одновременно несколько защитных утилит, можно с уверенностью говорить о работе весьма неприятного вируса.
Охота на червя. Вредоносное ПО типа W32.Sober распространяется с помощью адресной книги почтового клиента. Например, пользователь получает письмо от подруги с темой «Я тебя люблю» и вложением heart.jpg. Как только жертва открывает рисунок или автоматически запускается функция предварительного просмотра, червь внедряется на жесткий диск, маскируется под важный системный файл и требует от защитных программ прекратить работу. Таким образом он обеспечивает возможность загрузки гораздо более опасного ПО.
Справиться со зловредной программой поможет утилита Stinger с нашего DVD. Однако учтите, что она не способна заменить антивирус. Если червь успел загрузить другие программы, бороться с ними следует в индивидуальном порядке.
Повреждение данных: программа-вымогатель?
Вероятность атаки: средняя
Утилиты для оптимизации и программы, которые находят дублирующиеся файлы, очень тщательно наводят порядок, поэтому перед использованием подобного ПО необходимо делать резервные копии. Однако ни одно из этих приложений не станет угрожать вам удалением всех данных и не потребует за их сохранность перечислить 1000 гривен на неизвестный счет — это прерогатива программ-вымогателей.
Безопасная оптимизация. Коммерческие приложения, такие как TuneUp Utilities, сразу после запуска предлагают создать аварийный загрузочный диск. В случае с бесплатными продуктами, такими, например, как CCleaner, вам придется самостоятельно позаботиться о своих данных, поскольку в их сохранности не может быть стопроцентной уверенности. Иногда файлы перестают читаться и из-за физических ошибок жесткого диска. Если беда все-таки случилась, а резервной копии нет, на помощь придет утилита PC Inspector File Recovery с нашего DVD.
Защита от шантажистов. Если ваши данные не удалены, а захвачены, ни в коем случае не идите на поводу у мошенников. Программы-вымогатели, такие как Troj.pgpcoder, часто используют простое кодирование, которое можно аннулировать без участия злоумышленника. В большинстве случаев вам поможет одна из специальных утилит от известных производителей антивирусов, которая декодирует носитель и бесследно уничтожит поразившую его программу.
Предотвратить подобные ситуации можно, если использовать самую свежую версию антивируса и ликвидировать имеющиеся уязвимости — в частности, с помощью службы автоматического обновления Windows.
Исчезновение результатов игры: клавиатурный шпион?
Вероятность атаки: средняя
Пройти такую игру, как World of Warcraft, за десять минут, конечно, невозможно — по крайней мере, легальными средствами. Но так называемые трейнеры посылают на сервер онлайн-игры чит-команды, которые позволяют стать бессмертным героем, избежать встречи с финальными монстрами и т. п. Это не только нечестно, но и опасно: такое ПО может быть носителем вируса.
Легальное мошенничество. Поскольку производители игр стремятся к честной борьбе, они выступают против использования чит-кодов. Такие компании, как Blizzard, даже блокируют аккаунт, если уличают игрока в подобном жульничестве. Поэтому чит-программы зачастую можно получить лишь на сомнительных сайтах, что сопряжено с риском. Загружайте такое ПО только из благонадежных источников, где оно, как правило, проверяется администратором ресурса.
Спасение результатов игры. Нередко вредоносные программы содержат кейлоггер, регистрирующий все нажатия на клавиши. Таким образом хакеры получают доступ к данным пользователя для авторизации и могут бесплатно играть его персонажем. В чит-программах прячутся, например, такие шпионы, как ntldr.exe, поэтому по возможности сохраняйте свои результаты не только онлайн, но и офлайн, на внешнем носителе. Если вы заметили, что кто-то играет с использованием ваших регистрационных данных, немедленно смените пароль и поставьте в известность производителя игры. При наличии у него службы поддержки, а у вас — сохраненных результатов изначальное положение можно будет восстановить.
Приложения не работают: вирус?
Вероятность атаки: низкая
Еще вчера программа работала безупречно, а сегодня неожиданно «забастовала» без каких-либо оснований.
Поиск причин. Вспомните, не устанавливали ли вы в последнее время новое ПО или драйвер, не подключали ли новые устройства и не поступало ли сообщений об ошибках от не работающего теперь приложения. Причин отказа запуска может быть множество — необходимо произвести тщательный анализ проблемы. В этой ситуации тоже стоит первым делом заглянуть в журнал событий. В «Пуск | Компьютер» в контекстном меню выберите «Управление». В разделе «Журналы приложений и служб» Windows фиксирует каждый запуск программы, даже когда он сопровождается сбоем. В большинстве случаев полезную дополнительную информацию можно получить, перейдя на вкладку «Подробности». Даже если там нет никакой ошибки, стоит исходить из того, что ПК, возможно, заражен вирусом.
Лечение жесткого диска. Чтобы узнать, что мешает компьютеру нормально работать, потребуется информативный лог-файл. Его можно создать с помощью специальной утилиты HijackThis. Если вы не хотите анализировать его самостоятельно, попросите о помощи, например, на форумах сайтов www.chip.ua или http://forum.kaspersky.com (соответствующая ветка имеется в разделе «Борьба с вирусами»). После удаления вредоносного ПО пострадавшее приложение и Windows должны заработать.
Как выследить хакера
Как только антивирус обнаруживает троян, он сразу удаляет его с жесткого диска. Это мешает охоте на хакеров: вы так никогда и не узнаете, кому передавала данные вредоносная программа. Для расследования создайте вторую систему или виртуальный ПК и из защитной утилиты запустите брандмауэр, который является важным источником сведений.
Сознательное заражение компьютера. Чтобы заманить хакера на ПК-приманку, прежде всего необходимо инфицировать компьютер трояном. Для этого, к примеру, откройте письмо с подозрительным вложением. Сразу после заражения троян начнет пересылать данные своему владельцу, и это мгновенно заметит брандмауэр. В его лог-файле появятся сведения о том, какая программа, когда, через какой порт и по какому IP-адресу отправляла информацию. Если вы видите неизвестный файл DLL или запись вроде «Win32.troj», агрессор обнаружен.
Злоумышленник в ловушке. По IP-адресу хакера можно установить его местоположение. В этом вам поможет программа VisualRoute с нашего DVD (trial-версия), обладающая впечатляющей графикой: она наглядно проложит маршрут.
Информирование провайдера. В большинстве случаев VisualRoute сможет сообщить вам только адрес крупного провайдера. Но последнему совершенно невыгодно, чтобы через его сервер шел трафик трояна. Поделитесь с ним результатами вашего расследования — серьезный провайдер немедленно блокирует хакера.
