Siedem oznak zła w systemie

Robak internetowy Conficker rozpoczął swój nędzny żywot pod koniec zeszłego roku i od tego czasu zaraził miliony komputerów. Stało się tak, mimo że Microsoft już w październiku 2008 r. zamknął wykorzystywaną przez wirusa lukę, udostępniając odpowiednią aktualizację. Wielu użytkowników wciąż nie do końca zdaje sobie sprawę z zagrożenia, jakie cyfrowe szkodniki stanowią dla ich komputerów, i niedostatecznie się przed nimi chroni. Sam pakiet oprogramowania ochronnego to najczęściej za mało – bez systematycznych aktualizacji systemu operacyjnego i skanera antywirusowego wystawiamy się na działanie szkodliwych aplikacji. Metody efektywnej ochrony przed wirusami można znaleźć w ramce “Zapobieganie”.
Rozszyfrowano tajemniczy język występujący w trojanie Duqu
Rozszyfrowano tajemniczy język występujący w trojanie Duqu

Jeśli już szkodnik dostanie się do systemu, często ukrywa się przed skanerem antywirusowym za pomocą rootkita. Zdarza się też, że jego działanie polega na całkowitym zablokowaniu pracy programu zabezpieczającego. W ten sposób zostaje otwarta furtka dla aplikacji szpiegujących. Oznaki obecności złośliwego oprogramowania są mniej lub bardziej subtelne: spowolnienie pracy komputera, wyskakujące reklamy, zmieniona strona startowa przeglądarki, ale też permanentne zawieszanie się systemu. Jednak uwaga: w wielu przypadkach podobnych problemów nastręczają nieszkodliwe programy, a nawet sam Windows. Wyjaśniamy, jakie są możliwe przyczyny kłopotów z komputerem, oraz jak rozpoznać, czy winnym jest wirus, czy też Windows. Potrzebne narzędzia zamieściliśmy na naszej płycie, a wskazówki, co robić, gdy rzeczywiście wykryjemy wirusa, znajdują się w ramce “Sposoby leczenia”.

1. Pecet wciąż się zawiesza

Kolejne wersje Windows nadal są podatne na mniej lub bardziej poważne błędy systemu. Ich efekt to komunikaty o brakujących lub uszkodzonych plikach, niebieskie ekrany lub – szczególnie denerwujące – ciągłe restartowanie się komputera. Przyczyną tego typu problemów mogą być źle zaprogramowane szkodniki, powodujące konflikty w systemie plików. Dzieje się tak, gdyż twórcy wirusów często nie dysponują czasem ani środkami, by dokładnie przetestować swoje “dzieła”. Bardzo rzadko takie skutki uboczne są zgodne z zamysłem programisty, ponieważ warunkiem efektywnego działania złośliwych aplikacji jest ich niewykrywalność. Z drugiej strony również zupełnie bezpieczne programy bywają często źle zaprogramowane i powodują zawieszanie się systemu. Do wymienionych przyczyn należy jeszcze dodać problemy sprzętowe: zwłaszcza niebieskie ekrany i restartowanie się komputera są często oznaką przegrzewania się lub awarii procesora, karty graficznej lub kości pamięci operacyjnej.

Wirus czy Windows?

Aby wykluczyć niepoprawne działanie sprzętu, powinniśmy przede wszystkim otworzyć obudowę komputera i oczyścić jego podzespoły z kurzu. Następnie sprawdźmy, czy wszystkie złącza są poprawnie i dokładnie połączone oraz czy wentylatory obracają się bez oporu.

W Menedżerze urządzeń systemu Windows – »Start | Panel sterowania | System | Menedżer urządzeń« – zauważymy ewentualne konflikty sprzętowe. Najczęściej udaje się je rozwiązać poprzez zainstalowanie na nowo sterowników powodujących konflikty. Ogólne pojęcie o stanie systemu dadzą nam programy takie jak SiSoft Sandra Lite, który pokazuje na przykład przegrzewające się komponenty. Jeżeli niedawno zainstalowaliśmy nowy program, również on może stwarzać problemy. Niestety, zwykłe odinstalowanie nie wystarcza, gdyż na komputerze mogą pozostać zbędne pliki lub klucze Rejestru. Wówczas pomogą narzędzia oczyszczające, np. CCleaner. Możemy też skorzystać z punktu przywracania systemu utworzonego przed zainstalowaniem problematycznego programu.

2. Podejrzany ruch w Sieci

Komunikaty ostrzegawcze firewalli są denerwujące. Warto jednak zwracać większą uwagę na te, które pojawiają się akurat wtedy, gdy nie korzystamy z Sieci. Również w sytuacji gdy nie używamy Internetu, a mimo to w systemowym Menedżerze zadań jest widoczny ruch świadczący o wykorzystywaniu naszego łącza, powinniśmy zwiększyć czujność. Złośliwe programy rzadko ograniczają się bowiem do uszkadzania plików umieszczonych na komputerze – znacznie częściej zachowują się jak cyfrowi szpiedzy i przesyłają swym twórcom poufne dane użytkowników zakażonych maszyn lub pobierają z Sieci kolejne szkodniki albo wykorzystują nasz komputer do rozsyłania spamu. Na przykład program szpiegujący KeyProwler zapisuje wszystkie znaki wprowadzane za pomocą klawiatury i wysyła je hakerowi – w ten sposób w kilka chwil nasze loginy i hasła trafiają w niepowołane ręce. Często jednak zdarza się, że ruch sieciowy generują zainstalowane programy lub Windows, na przykład pobierając w tle najnowsze aktualizacje.

Wirus czy Windows?

Niewielkie narzędzie Currports tworzy listę wszystkich programów korzystających z połączenia internetowego. Za pomocą kombinacji klawiszy [Ctrl] + [F6] usuwamy z niej wszystkie usługi systemowe. Jeżeli na ekranie pozostaje coś poza przeglądarką internetową, być może jesteśmy obserwowani przez cyfrowego szpiega. W kolumnie »Remote Address« znajdziemy numery IP, z którymi łączą się figurujące na liście aplikacje. Możemy sprawdzić, kto stoi za kombinacją cyfr, sprawdzając IP za pomocą usługi network-tools.com.

3. Komputer zwalnia

Sporo użytkowników Windows zauważa to zjawisko: z czasem komputer coraz bardziej zwalnia. Ładowanie systemu wydłuża się, a zanim rozpoczniemy pracę, musimy czekać na uruchomienie coraz dłużej listy niewielkich aplikacji. Mało tego, więcej czasu zajmuje też ładowanie programów i otwieranie plików. Jasne jest, że każdy aktywny szkodnik wykorzystuje zasoby i obciąża system. Jednak z biegiem czasu na komputerze gromadzi się mnóstwo różnych programów, o których można powiedzieć dokładnie to samo: zapychają one Rejestr, powodują fragmentację dysku i zagnieżdżają się w Autostarcie.

Wirus czy Windows?

Hamulcowych oraz niechcianych gości najprościej wykryć za pomocą Menedżera zadań. Polecamy też narzędzie System Explorer – w zakładce »Autostart | Startowe«  wyświetlane są wszystkie programy uruchamiane podczas włączania systemu operacyjnego. W innej zakładce, »Monitorowanie | Procesy«, zobaczymy listę aktywnych procesów. Pozycje oznaczone jako »Bezpieczny« to najczęściej ważne usługi systemu Windows. Ale uwaga: niektóre szkodniki podszywają się pod procesy systemowe. Przykładem jest robak Netsky.AB, używający nazwy “csrss.exe”. Różnica polega na tym, że plik wirusa można znaleźć w katalogu »C:\Windows«, a usługę systemową – w »C:\Windows\System32«.

Gdyby okazało się, że na liście System Explorera znajduje się podejrzana pozycja, kliknijmy ją prawym przyciskiem myszy i wywołajmy menu kontekstowe, w którym będzie opcja »Sprawdź plik | VirusTotal.com«. Korzystając z niej, możemy od razu wysłać podejrzany plik do witryny, która powie nam, czy jest on niebezpieczny. W żadnym wypadku nie powinniśmy zamykać procesu, którego nie znamy – być może jest to ważna usługa Windows!

4. Przeglądarka szwankuje

To bardzo denerwujące, gdy chcemy skorzystać z Internetu, a przeglądarka nie działa tak, jak powinna: strona startowa jest zmieniona, w oknie pojawiają się nieznane paski narzędzi i zewsząd wyskakują niechciane reklamy. Takimi sposobami złośliwe programy próbują nas skłonić do odwiedzenia spreparowanych witryn, co z kolei umożliwi hakerom wykradzenie naszych danych logowania lub wprowadzenie do naszego systemu kolejnych szkodników. Przykładowo program typu adware o nazwie MyCentria instaluje swój pasek narzędzi jako wtyczkę do przeglądarki, po czym przechwytuje zapytania kierowane przez użytkownika do wyszukiwarek i w oknie wyników wyświetla spreparowane strony o odpowiedniej tematyce. Paski narzędzi są jednak również częścią wielu nieszkodliwych programów. Jeśli będziemy nieuważni i podczas instalacji nie odznaczymy pola wyboru powiązanego z paskiem, pojawi się on w oknie przeglądarki.

Wirus czy Windows?

Często nie wystarczy po prostu przywrócić dawną stronę startową w »Opcjach internetowych«, gdyż szkodnik szybko nadpisze wprowadzone przez nas zmiany. Wówczas pomoże rzut oka na Rejestr systemowy, który otworzymy, wpisując »regedit« w pasku wyszukiwania Visty. Następnie w kluczu »HKEY_LOCAL_MACHINE/Software/Microsoft/Internet-Explorer/Main« znajdziemy wpis »Start Page« zawierający adres strony startowej IE. Nieznany URL może świadczyć o obecności na komputerze programów typu adware. Takich nieproszonych gości tropi narzędzie HijackThis. Tworzy ono log, który przeanalizujemy, korzystając z informacji na stronie tinyurl.com/byhdm. Na forum tej witryny możemy poszukać pomocy ekspertów, którzy zinterpretują log i stwierdzą, czy na naszym komputerze jest obecny wirus, oraz wskażą, które pliki należy usunąć.

5. Nietypowa aktywność dysku

Bezczynny komputer zaczyna nagle szumieć, a dioda dysku twardego mruga jak oszalała, chociaż niczego nie robimy. Być może właśnie załadował się wirus, którego zadaniem jest sprawdzenie całej zawartości nośnika w poszukiwaniu danych naszego konta i haseł. Możliwe też, że szkodnik właśnie rozpoczął ściąganie posiłków z Sieci i instaluje kolejne złośliwe programy. Jednak równie często przyczyny takiego niespodziewanego wzrostu aktywności peceta są takie: Windows i inne programy w czasie bezczynności komputera uruchamiają automatyczne usługi systemowe, na przykład defragmentację dysku, indeksowanie plików czy samoczynne aktualizacje bądź tworzenie kopii zapasowych. Tak samo prawdopodobne jest, że nasz program antywirusowy przeprowadza właśnie zaplanowane skanowanie zawartości dysku.

Wirus czy Windows?

Klikając ikonkę w Zasobniku systemowym, otwórzmy program antywirusowy i zobaczmy, czy nie trwa właśnie skanowanie dysku. Aktywność usług systemu Windows możemy sprawdzić w Panelu sterowania, wybierając w XP »Zaplanowane zadania«, a w Viście »Narzędzia administracyjne | Harmonogram zadań«. Znajdziemy tam również informacje, kiedy są uruchamiane usługi wykonywane podczas bezczynności systemu. Narzędzia aktualizacyjne poszczególnych programów wyświetla aplikacja System Explorer w zakładce »Autostart | Startowe«.

6. Niesprawny antywirus

Każdego dnia pojawia się 30 000 nowych wirusów. Oznacza to, że bez aktualizowanego programu antywirusowego jesteśmy bezbronni. Mimo to wielu użytkowników nie dostrzega poważnego zagrożenia w sytuacji, gdy ich skaner antywirusowy przestaje się uruchamiać lub instalować aktualizacje. Nie można tego ignorować – w wielu przypadkach błędy są spowodowane celowym działaniem wirusów uszkadzających mechanizmy obronne komputera. Coraz częściej złośliwym aplikacjom udaje się wyłączyć oprogramowanie antywirusowe lub przynajmniej odciąć mu dostęp do serwerów aktualizacji. Istnieją nawet szkodniki na tyle zaawansowane, że wychwytują wprowadzane do wyszukiwarek – na przykład Google – hasła, takie jak “wirus”, “ochrona” czy “antywirus”, i blokują wyświetlanie poprawnych wyników lub zastępują je spreparowanymi adresami. Zdarza się jednak, że podobnych problemów nastręczają niepoprawnie zainstalowane aktualizacje albo po prostu uszkodzenie bądź przeciążenie serwera uaktualnień.

Wirus czy Windows?

Na początek powinniśmy spróbować ręcznie uruchomić procedurę aktualizacji. Odpowiednią opcję zazwyczaj znajdziemy w naszym programie antywirusowym, wybierając polecenie »Aktualizacja«, »Preferencje« albo podobne, w zależności od używanego narzędzia. Informacje o ewentualnych problemach lub awariach serwerów producenci oprogramowania zamieszczają zwykle na stronach dotyczących wsparcia technicznego. Jednak ryzyko zainfekowania komputera rośnie, im dłużej czekamy na możliwość aktualizacji programu, dlatego w przypadku awarii powinniśmy posiłkować się darmowymi skanerami online. Przykładowo skaner firmy Trend Micro (housecall.trendmicro.com) wykorzystuje wydajny silnik i współpracuje z przeglądarkami Firefox i Internet Explorer. Internetowe antywirusy sprawdzają cały komputer, włącznie z pamięcią operacyjną i bootsektorem, i zawsze posługują się aktualnymi sygnaturami wirusów.

7. Zmieniony interfejs  Windows

Fałszywe komunikaty ostrzegawcze o zabawnej treści, zmienione ikony, dziwne znaki na monitorze – nie każdy wirus musi niszczyć lub szpiegować. Czasami twórcy szkodników chcą tylko rozdrażnić internautów i zademonstrować swoją władzę. Przykładowo wirus Blusod generuje fałszywe niebieskie ekrany śmierci, przyprawiając użytkowników komputera o palpitację serca. Kto w panice natychmiast przystąpi do przywracania stanu systemu z kopii zapasowej lub instalowania Windows na nowo, niepotrzebnie podejmie mozolny trud.

Wirus czy Windows?

Z reguły za takie zachowanie peceta odpowiedzialne są wirusy. Na szczęście tego rodzaju szkodniki rzadko powodują trwałe uszkodzenia. Pamiętajmy, że najgroźniejsze wirusy są tworzone po to, by jak najdłużej działać w ukryciu. Denerwujące programiki najczęściej nie zagnieżdżają się zbyt głęboko w systemie, więc programy antywirusowe szybko sobie z nimi radzą. Często wystarczy skorzystać ze skanera online bądź darmowego oprogramowania. Niestety, nie wszystkie wirusy są tak nieszkodliwe. By nie paść ofiarą cyberprzestępców, musimy zawsze pamiętać o stosowaniu właściwych środków ochronnych.

Zapobieganie

Niestety, nie istnieje stuprocentowo pewna ochrona przed wirusami i programami szpiegującymi. Zagrożenie możemy jednak zminimalizować, trzymając się kilku prostych reguł:

  • Aktywujmy funkcję aktualizacji naszego programu antywirusowego.
  • Regularnie przeprowadzajmy pełne skanowanie systemu operacyjnego.
  • Zawsze korzystajmy ze skanera antywirusowego działającego w tle.
  • Koniecznie korzystajmy z automatycznej aktualizacji Windows.
  • W regularnych odstępach twórzmy kopie zapasowe naszych danych.
  • Przygotujmy ratunkową płytę CD na wypadek, gdyby nasz Windows nie chciał się uruchomić.
  • A przede wszystkim nie otwierajmy nieznanych załączników do emaili.
Sposoby leczenia

Co zrobić, jeśli na naszym komputerze zagnieździł się wirus? Paniczne usuwanie plików i folderów może spowodować więcej szkód niż pożytku. Oto siedem zasad radzenia sobie ze szkodnikami bez skutków ubocznych:

  • Przede wszystkim nie podejmujmy nieprzemyślanych działań.
  • Zainstalujmy i/lub zaktualizujmy program antywirusowy.
  • Przerwijmy fizyczne połączenie z Internetem (kabel lub modem).
  • Wyłączmy komputer i włączmy go ponownie. Jeśli skorzystamy z opcji »Uruchom ponownie«, wirusy mogą pozostać w pamięci operacyjnej, a jeżeli zupełnie wyłączymy komputer – nie.
  • Zabezpieczmy najważniejsze pliki na pustym nośniku, by przypadkowo nie zainfekować nośnika z kopiami zapasowymi. Przed późniejszym przywróceniem danych pamiętajmy o sprawdzeniu ich przy użyciu programu antywirusowego.
  • Rozpocznijmy skanowanie, aby definitywnie usunąć szkodnika.
  • Zainstalujmy dodatkowe programy ochronne – np. usuwające rootkity narzędzie Gmer – i ponownie sprawdźmy peceta.