Ktoś przejął mój komputer - co robić?

Co zrobić jeżeli podejrzewam, że ktoś przejął mój komputer? Kiedy mój adres IP został zmieniony bez mojej wiedzy? Uruchamiane systemy zajmuje mi masę czasu, do póki nie odłączę kabla sieciowego, a obciążenie procesora dochodzi do 100%. Pojawiło się też nowe połączenie w połączeniach sieciowych, którego jeszcze jakiś czas temu nie było.

Wygląda na to, że jakieś oprogramowanie złośliwe dostało się do komputera. Trzeba na początek przeprowadzić proces eliminacji żeby sprawdzić, co faktycznie może być źródłem problemu. Zaczynamy od uruchomienia komputera w trybie awaryjnym bez podłączonego kabla sieciowego. To pozwoli na ograniczenie ilości usług, które przy starcie systemu uruchamiają się automatycznie.

Jeżeli skorzystanie ze sniffera nie będzie zbyt dużym problem to możemy na drugim komputerze zainstalować Wiresharka (www.wireshark.org) lub inny podobny w działaniu sniffer. Komputer ze snifferem umieścić z kolei pomiędzy zainfekowanym komputerem, łączem do Internetu np. podłączając obydwa komputery do hub-a (nie switcha). Następnie obserwować, co też takiego pojawi się w ruchu. Rezultaty mogą pomóc w znalezieniu źródła problemu i przy okazji posłużyć jako ciekawe doświadczenie śledcze.



Również na oddzielnym komputerze trzeba ściągnąć kilka różnych narzędzi usuwających spyware np. Spybot (www.safer-networking.org) i Ad-Aware (www.lavasoftusa.com). To oczywiście tylko przykłady - dobrych narzędzi jest znacznie więcej. Chodzi przede wszystkim o to, żeby posługiwać się przynajmniej dwoma niezależnymi narzędziami, ponieważ rzadko która aplikacja potrafi sobie poradzić z każdym rodzajem spyware'u. Należy następnie wypalić te narzędzia na płycie CD. Zanim jednak to zrobimy pamiętajmy, że zainfekowany komputer został uruchomiony w trybie awaryjnym i odłączony od Internetu. Dlatego też musimy zatroszczyć się o wcześniejsze pobranie najnowszych wersji sygnatur i dołączenie ich do płyty. W przypadku Ad-Aware takie sygnatury "off line" dostępne są na stronie http://www.lavasoft.com/support/securitycenter/blog/ (panel na prawo) i pobierane w formie pliku "zip". W przypadku Spybot-a ściągamy plik wykonywalny z http://www.spybotupdates.com/updates/files/spybotsd_includes.exe.
Wypalone w ten sposób aplikacje należy zainstalować na zainfekowanym komputerze uruchomionym w trybie awaryjnym (bez sieci). Następnie, w przypadku Ad-Aware'a ze ściągniętego pliku "zip" wypakowujemy definicje (core.aawdef) i kopiujemy do katalogu "C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware 2007\". W przypadku Spybot-a plik aktualizacji "spybotds_includes.exe" należy uruchomić tak, jak każdą inną aplikację. Po zaktualizowaniu definicji trzeba odpalić każdy z programów przynajmniej raz, a czasami więcej- dopóki nie zostaną usunięte wszystkie wykryte zagrożenia. Wydaje się, że wielokrotne uruchamianie tego samego programu to strata czasu ale zdarza się, że jeden z programów usuwając jedno zagrożenie "odsłoni" inne, które zostanie wykryte przez drugie narzędzie.

Po wykonaniu tego kroku czas na oprogramowanie antywirusowe. Dokładnie tak samo, jak w przypadku programów antyspywareowych tak i tutaj dobrze jest skorzystać z przynajmniej dwóch różnych produktów. Dla przykładu, Avast ma w swojej ofercie darmowe narzędzie do wykrywania i usuwania najbardziej wrednych wirusów - avast! Virus Cleaner (http://files.avast.com/files/eng/aswclnr.exe ), które może być uruchamiane z dowolnego w zasadzie nośnika (nie wymaga instalacji).



Drugim takim narzędziem może być RogueRemover (http://malwarebytes.org/rogueremover.php ) - tym razem konieczna będzie instalacja (cały czas komputer ma być odłączony od sieci i pracować w trybie awaryjnym).



Wreszcie godnym uwagi jest ClamAV w odmianie dla Windowsa, czyli ClamWin. Skaner ten można pobrać zarówno w wersji wymagającej instalacji (www.clamwin.com), jak i wersji przenośnej (http://portableapps.com/apps/utilities/clamwin_portable ). Bez względu na to, którą wersję wybierzemy będziemy musieli ręcznie ściągnąć aktualizacje - tak jak to robiliśmy przy antyspywarze. Aktualizacje występują w formie dwóch plików http://database.clamav.net/main.cvd oraz http://database.clamav.net/daily.cvd . Pliki te po pobraniu i zainstalowaniu narzędzia ClamAV, należy umieścić w katalogu "C:\Documents and Settings\All Users\.clamwin\db" (w przypadku odmiany wymagającej instalacji) lub w "[katalog, gdzie znajduje się ClamWin]\data\db" (w przypadku wersji przenośnej).



Teraz każde z tych narzędzi musimy uruchomić przynajmniej dwa razy. Po wyczyszczeniu wszystkich wykrytych zagrożeń można zrestartować komputer i uruchomić go już w normalnym trybie z podłączonym kablem sieciowym no i trzymać kciuki, że faktycznie całe "robactwo" zostało usunięte. Jeżeli tak faktycznie jest, to musimy się dodatkowo zabezpieczyć instalując firewalla z prawdziwego zdarzenia. Zapory dostępne w Windows XP/Vista, choć stanowią pewną przeszkodę nie oferują wystarczającej ochrony. Przykładem darmowych zapór mogą być Zone Alarm (www.zonealarm.com) czy Comodo Firewall Pro (www.personalfirewall.comodo.com). Firewalle te ostrzegają przed ruchem, który nie jest "normalny" dla naszej stacji (uczą się charakterystyki ruchu). Mając zainstalowane te narzędzia trzeba ich jeszcze używać, a więc nie klikać bezmyślnie kiedy firewall pyta o zezwolenie na nawiązanie połączenia no i regularnie skanować komputer pod kątem obecności kodu złośliwego.



Na koniec, dobrym pomysłem jest regularne odwiedzanie strony www.spywarewarrior.com, gdzie znajdziemy rozmaite informacje na temat zagrożeń i metod ich usuwania(w języku angielskim). Trochę bardziej zaawansowani użytkownicy mogą sięgnąć po narzędzia diagnostyczne takie jak Hijack This (http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis ), które skanuje komputer w poszukiwaniu plików, czy wpisów w rejestrze najczęściej modyfikowanych przez spyware. Narzędziem tym trzeba posługiwać się bardzo umiejętnie i ostrożnie ponieważ nie rozpoznaje ono tego co jest dobre, a co złe. Wskazuje jedynie na miejsca modyfikacji. Nie wolno więc usuwać "jak leci" wszystkiego, co wskaże ten program.

***
Korzystano z materiałów IDG.