Počítač trucuje. Není hacknutý?
Windows už zase nepracují podle vašich představ. Je to chyba Microsoftu, nebo jde o něco jiného? Ukážeme vám chování typické pro napadený počítač.
MARKUS HERMANNSDORFER, VRATISLAV KLEGA
Operační systém a aplikace nám usnadňují život, jsou však zároveň nepřetržitě v ohrožení. Každý den se na internetu objeví okolo 60 000 nových škůdců. Není proto divu, že již každý druhý uživatel má nepříjemnou zkušenost s malwarovou infekcí, jak tvrdí bezpečnostní specialisté společnosti Panda. Jenže jak poznat, že je počítač napaden? Třeba podle toho, že procesor je neustále hodně vytížený, že se po síti přenáší neznámá data nebo že se z ničeho nic zobrazují podivuhodná okna. Ještě než začnete počítač "ládovat penicilinem", podívejte se na naše tipy a použijte nástroje z DVD. Třeba je problém v softwaru, ovladači nebo špatném programu.
PC varuje před infekcí: Scareware?
Pravděpodobnost napadení VYSOKÁ
Zobrazí se okno s varováním, že je váš počítač napaden virem. Protože ale máte šťastný den, stačí jedno kliknutí, a stáhnete si antivir, který škůdce zneškodní. Věříte tomu? Dostatečné množství uživatelů ano. Pravidelným čtenářům Chipu snad ani nemusíme připomínat, že je to bouda jako pro maxipsa Fíka.
ZKONTROLUJTE OCHRANU: Pokud máte aktualizovaný operační systém, používáte antivirovou ochranu, aktuální webový prohlížeč a firewall, takových hlášek se bát nemusíte. Hlavně na takové nabídky za žádnou cenu neklikejte. Do počítače byste si nainstalovali malware. Pokud nemáte dostatečnou ochranu, najdete na Chip DVD Comodo Internet Security Premium 2011. Ten obsahuje jak kvalitní firewall, tak antivirovou ochranu. Navíc je Comodo velmi šetrné k výkonovým zdrojům počítače.
S CHAMTIVOSTÍ NEJDÁL DOJDEŠ: Drzost internetových zločinců je neuvěřitelná. Nejprve vám vnutí "antivir", který nahraje do vašeho počítače malware. Vy máte falešný pocit bezpečí, protože jste si nainstalovali program, který vám doporučilo vyskakovací okno, a nyní vám tento škůdce nutí upgrade na placenou verzi. Protože takové hlášky dokážou být opravdu dotěrné, velké množství uživatelů skutečně podlehne. Zločinec tak nejen získá kontrolu nad vaším počítačem, ale navíc mu ještě zaplatíte.
Navíc pokud se malware zahrabe hluboko do systému, bude problémem jej odinstalovat i poté, co nainstalujete nový antivirový program. Škůdce má před ním výhodu a dokáže se zamaskovat. Odhalit takového škůdce ve Windows je skutečný problém. Řešení naštěstí není tak složité. Stačí použít záchranný systém, ze kterého nabootujete počítač a odstraníte malware antivirem, který je součástí systému. Neníli totiž malware aktivní, není schopen zamaskovat svou přítomnost. Takových systémů jsme měli letos na Chip DVD velké množství, přičemž právě samotné Chip DVD bylo bootovací, takže z něj stačilo spustit PC a nechat zkontrolovat harddisk. V Chipu 7/2010 jsme vám nabídli záchranný systém od společnosti Kaspersky, který patří mezi nejlepší hledače malwaru.
Je-li malware velmi agresivní, neobejde se jeho odstranění bez poškození systému a ten pak nestartuje. To ale není žádná tragédie. Stačí vzít instalační disk se systémem a opravit jej. Oprava doplní části, které byly malwarem poškozeny.
Pomalé připojení: Trojský kůň?
Pravděpodobnost napadení STŘEDNÍ
Pokud máte standardní připojení k internetu a webová stránka www.chip.cz se vám načítá déle než pět sekund, něco není v pořádku. Problémů může být celá řada. Váš internetový poskytovatel může mít pomalé připojení, internetový prohlížeč je příliš pomalý, webová stránka může čekat na spuštění nějakého doplňku, třeba flashe. Je ale také možné, že máte v počítači trojského koně, který práci brzdí.
VYHLEDÁNÍ TROJSKÉHO KONĚ: Nejjednodušší by samozřejmě bylo, pokud byste spustili antivirový sken a ten trojského koně našel. Ne vždy je to ale tak jednoduché. Pokud se trojský kůň dostal do počítače, aniž by ho antivir odhalil, bude těžké jej najít. Můžete to však zkusit.
Trojské koně používají hackeři k tomu, aby ovládali váš počítač a používali jeho hardware, třeba při hromadných útocích. Jeli trojský kůň v počítači, může hacker dělat s počítačem to samé, co můžete dělat vy.
Přítomnost trojského koně odhalíte tak, že počítač a především internetové připojení jsou o dost pomalejší. Díky tomu však můžete trojského koně snadno odhalit. Vypněte všechny programy, které přistupují k síti nebo internetu, jako je poštovní klient, prohlížeč, ICQ, Skype, aktualizační služba. Pokud už neběží žádný program připojený k síti, spusťte klávesovou zkratkou [Ctrl+ Shift+Esc] Správce úloh a přepněte se do záložky "Sítě ". Využití sítě by mělo být 0 %, neměla by probíhat žádná komunikace. Pokud naopak probíhá výrazná komunikace po síti, je velmi pravděpodobné, že máte v systému trojského koně.
Pro odstranění můžete použít stejný postup jako v předchozím bodě, případně můžete vyzkoušet také nástroj TrojanHunter z Chip DVD, který se na hledání trojských koní specializuje.
Počítač si z vás utahuje: Virus?
Pravděpodobnost napadení VYSOKÁ
Plocha je vzhůru nohama, Windows zobrazují nesrozumitelné hlášky, z reproduktorů se line hlasitý smích. Co je to za vtípky?
ŠPRÝMAŘ: Softwarovou chybu můžete vyloučit. Někdo si z vás udělal legraci a ve vašem počítači teď úřaduje vir šprýmař. Kdo ho tam ale dal? A kdy a jak?
V tomto případě doporučujeme sáhnout po nástroji pro obnovení systému. Spusťte jej a klikněte na "Vybrat jiný bod obnovení". Uvidíte, které aplikace byly v poslední době nainstalovány. Pokud jste nic neinstalovali, ale najednou zde uvidíte nějakou podivnou aplikaci, nejspíš bude za problémy zodpovědná právě ona. Vy však nechcete jen odstranit tuto legrácku, ale také vystopovat, kdo vám ji do počítače nainstaloval. Pokud nemáte v počítači více uživatelských účtů, nejspíš někdo přišel s USB flash diskem a aplikaci z něj nainstaloval. V nástroji Obnovení systému zjistíte, kdy přesně byl program nainstalován. Z toho můžete odvodit, kdo si mohl s vaším systémem hrát. Pokud to podle času nezjistíte, je zde ještě další možnost.
Na Chip DVD najdete program USBDeview, který vám pomůže zjistit, jaké zařízení bylo v té době připojené. Podle značky, případně typu USB disku už bude mnohem jednodušší vypátrat šprýmaře.
PŘÍŠTĚ UŽ NE: Nechcete-li, aby se vám něco podobného stalo i příště, zabezpečte si pořádně počítač. Klikněte pravým tlačítkem myši na plochu systému a zvolte "Přizpůsobit". V nově zobrazeném okně klikněte na "Spořič obrazovky" a zatrhněte položku "Při obnovení zobrazit přihlašovací obrazovku". Dobu do aktivace spořiče zvolte do pěti minut.
Pomalý počítač: Botnet?
Pravděpodobnost napadení STŘEDNÍ
Spuštění aplikace trvá déle než spuštění celého systému, všechno běží jako zpomalené, na každou akci čekáte několik sekund. Může za to škodlivý software?
VYČIŠTĚNÍ DISKU: Jakmile začne na pevném disku docházet volné místo, dochází ke značné fragmentaci dat. Přečtení souboru pak trvá až několikanásobně déle než u disku, který má dostatek volného místa a je defragmentovaný. Chcete-li tedy dostat počítač opět do kondice, smažte nepotřebné soubory, vysypte koš a použijte nástroj CCleaner, který odstraní dočasné a nepotřebné soubory. Nakonec pevný disk defragmentujte. K tomuto účelu najdete na Chip DVD nástroj Defraggler, který pevný disk defragmentuje, když běží spořič obrazovky, takže vás žádným způsobem nezdržuje od práce. Pokud se po pročištění počítač zrychlí, nemusíte se žádných botnetů obávat.
SOUČÁST SÍTĚ BOTNETŮ: Stane-li se váš počítač součástí velké sítě internetové mafie, je prakticky v otroctví vzdálených hackerů. Plní jejich příkazy a na ty vaše už mu nestačí síly. Není proto divu, že je pak počítač pomalý. Jak odhalit, zda je váš počítač nevolníkem?
Ze všeho nejdříve ukončete všechny programy – nejen ty, které máte spuštěné jako uživatel, ale také ty na pozadí. Podívejte se na ikony na systémové liště vedle hodin a postupně zavřete vše, co zde běží. Jsou-li všechny aplikace zavřené, pomocí [Ctrl+Shift+Esc] spusťte Správce úloh a přepněte se do záložky "Výkon". V okně "Historie využití procesoru" byste nyní měli vidět zanedbatelné hodnoty, které nepřekročí 3% hranici. Bude-li zatížení vysoké, je vysoce pravděpodobné, že výkon vašeho počítače zneužívá někdo jiný.
Tito škůdci dokážou deaktivovat váš antivir, proto je zbytečné se snažit počítač vyčistit tímto způsobem. Pomůže vám nástroj Radix Anti-Rootkit z Chip DVD. Ten nainstalujete na USB flash disk, z něj pak spustíte počítač a rootkit ze systému odstraníte.
Browser surfuje sám: Hijacking?
Pravděpodobnost napadení STŘEDNÍ
Prohlížíte si webovou stránku, a jako mávnutím kouzelného proutku se najednou objeví jiná stránka. Nebo z ničeho nic vyskočí okno s reklamou. Strašidlo, nebo malware?
ZMĚNA DOMOVSKÉ STRÁNKY: Internet Explorer má od Microsoftu standardně nastavenu domovskou stránku na http://go.microsoft.com. Až když zvolíte "Nástroje | Možnosti internetu", můžete domovskou stránku změnit. Firefox zase po každé aktualizaci zobrazí stránku Mozilly, ve které je výpis novinek právě aktualizované verze. Těmto stránkám tedy nemusíte věnovat žádnou pozornost.
HLEDEJ HIJACKER: Pokud se ale ve vašem prohlížeči každé tři sekundy zobrazuje nové okno a samovolně se dostáváte na pochybné stránky, s největší pravděpodobností je váš počítač infikovaný.
V těchto případech je schopen pomoci i konvenční antivir, my však doporučujeme specializované nástroje, jako je SpyBot Search&Destroy z Chip DVD. Ten dokáže najít a odstranit trojské koně, hijackery, spyware a podobné škůdce. Zkušenějším uživatelům nabízíme také nástroj HijackThis.
Bezpečnostní balík nepracuje: Červ?
Pravděpodobnost napadení STŘEDNÍ
Z ničeho nic se vám v systému deaktivuje firewall. Je to softwarová chyba, nebo za to může nějaký červ?
VYPÍNAČI SLUŽEB: Možná si ještě pamatuje na červa nazvaného Blaster. Ten dokázal shodit celý operační systém. Jen se zobrazilo okno odpočítávající čas do vypnutí systému a nešlo s tím nic dělat. Podobných červů jsou tisíce a nesoustřeďují se jen na vypnutí systému, ale na deaktivaci nějaké bezpečnostní funkce. Třeba ve správný okamžik dokážou deaktivovat bezpečnostní balík, firewall nebo jinou komponentu, která střeží bezpečnost počítače. A je-li tato komponenta, která třeba uzavírá nějakou bezpečnostní mezeru, deaktivována, je pro hackera vstup do počítače snadný. Když se zobrazí hláška o deaktivovaném antiviru nebo firewallu, je už většinou pozdě.
CHYTNI ČERVA: Nalezení aktivních červů není vůbec snadné. V systému se umí velmi dobře zamaskovat, jejich nalezení a odstranění je proto velmi složité. Nechceteli při hledání opouštět Windows, vyzkoušejte nástroj McAfee AVERT Stinger, který se právě na boj s wormy specializuje, dokáže je najít a také odstranit. Kromě toho opět doporučujeme sáhnout po bootovacím DVD a při vypnutých Windows provést kontrolu disku.
Poškozené soubory: Ransomware?
Pravděpodobnost napadení STŘEDNÍ
Všechny tuningové nástroje nabízejí funkci pro čištění. Mažou nepotřebné soubory, ale také ty soubory, které jsou v počítači vícekrát. Pokud vám tedy zmizel soubor, nemusí to být ještě ransomware. To je typ útoku, při kterém hacker zablokuje přístup k vašim souborům a uvolní jej, až když zaplatíte "výkupné".
BEZPEČNÝ TUNING: Pro tuning používejte jen osvědčené nástroje, o kterých víte, že dobře fungují. Jsou tisíce tuningových nástrojů, ale jen některé fungují spolehlivě. Mezi nejlepší patří TuneUp Utilities, plnou verzi tohoto tuningového nástroje vám přinášíme každý rok. CCleaner také pracuje spolehlivě, ale už je třeba dávat trochu větší pozor. Program je velmi agresivní a maže vše, co nepovažuje za důležité. Nejen z tohoto důvodu, ale také kvůli fyzickým chybám na disku doporučujeme pravidelně zálohovat svá data. I v tomto vám Chip vychází vstříc a prakticky každý měsíc najdete na Chip DVD plnou verzi nějakého komerčního nástroje na zálohování souborů.
PROTIÚTOK: Pokud jste se skutečně stali obětí ransomwaru, nemusíte hned vyplácet desetitisíce, abyste se dostali zpět ke svým souborům. Můžete si zkusit pomoci sami. Třeba typický ransomware, trojský kůň pgpcoder, používá celkem jednoduché šifrování, které prolomíte i bez pomoci vyděrače. Pomohou vám s tím nástroje od společností F-Secure nebo Kaspersky, které soubory dešifrují a trojské koně vymažou.
Ransomwaru je naštěstí celkem snadné předcházet, stačí používat antivirovou ochranu a mít uzavřené všechny bezpečnostní mezery tím, že budete pravidelně aktualizovat operační systém i používané programy.
Skóre je pryč: Keylogger?
Pravděpodobnost napadení STŘEDNÍ
Vyhrát bitvu ve hře jako World of Warcraft za dvě minuty? Legálními prostředky to samozřejmě nejde. Takzvaní "trainers" posílají na on-line server cheaty, díky kterým je hrdina nesmrtelný, může přeskočit úroveň, přidat zbraně a podobně. Jenže právě cheaty často obsahují různý malware, a abyste je mohli používat, musíte malware spustit.
LEGÁLNÍ ŠVINDLOVÁNÍ: Výrobci her se snaží bojovat proti švindlování ve hrách. Někteří výrobci, jako třeba Blizzard, bojují proti podvodníkům takovým způsobem, že jakmile zjistí přítomnost cheatů, zablokují hráčův účet. Cheaty tak najdete jen na různých pochybných serverech, ze kterých nedoporučujeme nic stahovat. Chcete-li používat cheaty, použijte ty, které najdete na našem partnerském webu www.hrej.cz. Ty jsou kontrolované a neobsahují žádné škůdce.
ULOŽENÉ POZICE: Malware, který se do počítače dostane, obsahuje většinou keyloggery, které ukládají stisky vašich kláves na klávesnici. Tak se hacker zmocní všech dat, která na klávesnici napíšete. Právě známý keylogger ntldr.exe je často součástí cheatovacích programů.
Většina her je "na dlouho", proto doporučujeme uložené pozice ukládat i jinde než jen přímo ve hře – třeba na externí datový nosič. Hry s podporou služby Steam mohou dokonce ukládat data na tento sever. Pokud zjistíte, že někdo hraje pod vaším profilem, změňte heslo svého účtu a informujte o této skutečnosti výrobce hry.
Aplikace neběží: Virus?
Pravděpodobnost napadení NÍZKÁ
Chyba, nebo malware? Včera program ještě běžel, dnes odmítá službu.
HLEDEJTE PROBLÉM: Neinstalovali jste v poslední době nějaký nový program nebo ovladač? Nepřidávali jste nový hardware? Neodstraňovali jste nějaký program, nečistili registry nebo pevný disk? Příčin nespuštění aplikace může být spousta. Důležité je být pečlivý. Můžete napsat na naše webové fórum, kde vám odpovíme, důležité je, abyste přesně problém popsali. Tedy na jakém systému vám přestala fungovat která aplikace, v jaké verzi, kdy běžela naposledy a co jste od té doby s počítačem dělali. Štěstí je, pokud program zobrazí chybovou hlášku – díky ní se snadno dopátráte příčiny problému. Je tedy zbytečné do diskuse napsat "Program zobrazí nějakou chybovou hlášku". Právě od chybové hlášky se lze nejlépe odrazit při hledání problému.
LÉČBA: Pravděpodobnost, že se jedná o nějaký vir, je skutečně malá. Moderní malware se chová tak, aby si jeho přítomnosti uživatel ani nevšiml. Pokud přesto máte podezření na nějakého škůdce, můžete vyzkoušet nástroj HijackThis z Chip DVD.
VRATISLAV.KLEGA@CHIP.CZ
Vystopujte svého hackera
Firewall nemusí sloužit jen k ochraně. Nástroj vám také může najít osobu, která infikovala váš počítač.
Jakmile najdete trojského koně, odstraníte jej z disku. To je sice správné, ale už nezjistíte, kdo vám jej do počítače nainstaloval. Chcete-li vypátrat útočníka, budete potřebovat druhý systém, případně virtuální počítač. Na tomto systému by měl běžet firewall, který nám pomůže útočníka odhalit.
PLÁNOVANÁ INFIKACE
Nejprve je třeba pokusný operační systém infikovat trojským koněm. Buď můžete přesunout přímo soubor, ve kterém je nákaza, případně můžete otevřít e-mail nebo webovou stránku, prostřednictvím které jste malware pochytili. Hned po aktivaci začne trojský kůň komunikovat se svým autorem a posílat mu data. A právě to může firewall zaregistrovat. V logu firewallu uvidíte, který program na kterém portu a na kterou IP adresu posílal data. Uvidíte konkrétní knihovny, někdy případně přímo záznam "Win32.troj". A hacker je v pasti.
ODHALENÍ
Jakmile znáte IP adresu hackera, jeho vystopování je velmi jednoduché. Může vám s tím pomoci i nástroj VisualRoute z Chip DVD, který dokáže fyzicky najít počítač podle IP adresy.
INFORMUJTE PROVIDERA
Často se stane, že IP adresa vede jen k nějakému internetovému providerovi. V tom případě jej informujte o skutečnosti, že v jeho síti se nachází hacker. Není v zájmu žádného providera, aby z jeho sítě byly podnikány útoky, protože jej to poškozuje. Může skončit na blacklistu třeba různých antispamových filtrů.
ROZHOVOR
"Současný malware je těžko odhalitelný."
Luis Corrons, technický ředitel společnosti Panda Security
Po odstranění infekce změňte všechna svá hesla
Jak se dnes nejčastěji dostává malware do počítače?
Je to především pomocí různých stahovačů, které antivir neodhalí, a ty stahují škůdce do počítače bez jeho vědomí. Pak také z infikovaných stránek a v posledních měsících především pomocí Facebooku a Twitteru. Zde uživatelé bez rozmyšlení klikají na podvodné skupiny, a infekce je okamžitá.
Jaké jsou nejčastější příznaky infekce?
Nejlepší malware se nijak neprojevuje a uživatel si ničeho nevšimne. Jiné je to v případě, že hacker požaduje výkupné nebo se chce do počítače nainstalovat "antivir".
Jak bezpečná jsou vlastně Windows 7?
Patří mezi nejbezpečnější operační systémy, 100% bezpečná ale nejsou.
Foto: Falešný přítel: SystemDefender ve skutečnosti není antivir, jak se snaží namluvit, ale scareware, který vám skutečného škůdce nainstaluje.
Foto: Tajná komunikace: Pokud máte vypnuté všechny aplikace, které komunikují po síti, a přesto je po síti generován "nenápadný" provoz, může za to zřejmě trojský kůň. Doprovází jej vyšší zatížení procesoru.
Foto: Armáda zombie: ZeuS Tracker ukazuje, kolik počítačů je součástí ZeuS botnetu. Je mezi nimi i ten váš?
Foto: Napadený: Že je počítač určitě napadený, to poznáte podle toho, že se sama od sebe otevírají okna s pochybným obsahem.
Foto: Čmuchal: Pro kontrolu disku použijte nástroj Stinger. Umí najít a odstranit více než 4 000 červů.
Foto: Volný vstup: Keylogger získá vaše přihlašovací údaje, takže hacker pak může hrát pod vaším účtem, za který měsíčně platíte nemalou částku.