Ερώτηση για Virus-malwares,trojans κτλ.

[Χάρης Μυλωνίδης]

Καλησπέρα υπάρχει περίπτωση ένας ιός πχ να αποθηκευτεί στην μνήμη του υπολογιστή και όταν κάνω επανεκκίνηση σε safe mode with networking να ενεργοποιηθεί και να μολύνει και το safe mode με αποτέλεσμα να μην μπορεί να το εντοπίσει το αντιικό που θα έχω κάνει εγκατάστση στο safe mode;

Αλλά ο ιός να υπάρχει και να μην έχει καταφέρει το αντιικό να τον εντοπήσει.

[flik]

Καλημέρα Χάρη.

Κοίτα, το safe mode δεν είναι κάτι περίεργο. Είναι απλά μια κατάσταση εκκίνησης, στην οποία το λειτουργικό ξεκινά μόνο με τις απαραίτητες υπηρεσίες και προγράμματα. Το safe mode with networking είναι το ίδιο με το safe mode, συν την υπηρεσία δικτύου (όλο το πακέτο προγραμμάτων, υπηρεσιών, αρχείων κτλ που χρειάζονται να φορτώσουν).

 

Επίσης όταν λέμε μολύνεται ο υπολογιστής, είναι κάτι πολύ γενικό. Συνήθως έχουμε τη περίπτωση μερικών αρχείων που δημιοργούνται απο ένα πρόγραμμα που τρέχουμε νομίζοντας οτι είναι καθαρό, και μερικά reg keys που δίνουν την εντολή τα βρώμικα αρχεία να ξεκινάνε αυτόματα με τον υπολογιστή, και αυτά τα αρχεία κάνουν τη δουλειά. Τραβάνε δεδομένα, επικοινωνούν με κάποιον server, βγάζουν μηνύματα κτλ κτλ.

Όπως καταλαβαίνεις σε safe mode δεν φορτώνουν αυτά τα αρχεία, και έτσι λέμε οτι σε safe mode είναι πιο εύκολο να καθαρίσεις, μιας και τα αρχεία που δεν είναι φορτωμένα διαγράφονται ή τροποποιούνται.

 

Υπάρχουν όμως τύποι μολύνσεων, που μπορεί να τροποποιήσουν το MBR (Master Boot Record) κατα τέτοιο τρόπο που δεν μπορείς να μπεις ούτε σε safe mode.

 

Και φτάνοντας στο ερώτημα σου, υπάρχουν και μολύνσεις που τροποποιούν και τα αρχεία συστήματος, όπως είναι επι παραδείγματι το explorer.exe (ο εξερευνητής αρχείων). Τέτοιες μολύνσεις τώρα σε σύγχρονα συστήματα είναι πιο δύσκολο να γίνουν, αλλά σε xp ήταν ευκολότερο. Τέτοιοι είναι οι patching virus. Επίσης υπάρχουν και rootkits που κρύβονται σε αρχεία συστήματος, και δεν μπορείς να τα αφαιρέσεις ούτε σε safe mode.

 

Αυτό που πρέπει να κρατήσεις εσύ, έτσι όπως θέτεις το ερώτημά σου είναι το εξής.

Αν έχεις μολυνθεί σε βάθος, ώστε η μόλυνση να είναι ενεργή και σε safe mode, τότε αυτό γίνεται ούτως ή άλλως, χωρίς να έχεις μπει σε safe mode. Δηλαδή δεν γίνεται μόλις μπεις σε safe mode. Για να στο πω αλλιώς, δεν περιμένει ο ιός να μπεις σε safe mode για να το μολύνει και αυτό. ότι υπάρχει φορτωμένο σε safe mode υπάρχει και στην κανονική λειτουργία. Δεν έχει κάτι παραπάνω, μόνο κάτι λιγότερο.

Μη ξεχνάς οτι όταν λες να έχει αποθηκευτεί κάπου, εννοούμε να έχει ήδη γράψει κάπου δεδομένα. Άρα κατα κάποιο τρόπο είσαι ήδη μολυσμένος. Όντως μπορεί με την επόμενη επανεκκίνηση να φανεί, αλλά σίγουρα θα γινόταν και σε κανονική αν είναι να γίνει σε safe mode. Αν είναι δηλαδή να ξεκινήσει με την ασφαλή λειτουργία, σημαίνει πώς ήδη έχει γράψει δεδομένα στον πυρήνα του λειτουργικού σου.

[Bax90]

Καλημέρα Χάρη.

Κοίτα, το safe mode δεν είναι κάτι περίεργο. Είναι απλά μια κατάσταση εκκίνησης, στην οποία το λειτουργικό ξεκινά μόνο με τις απαραίτητες υπηρεσίες και προγράμματα. Το safe mode with networking είναι το ίδιο με το safe mode, συν την υπηρεσία δικτύου (όλο το πακέτο προγραμμάτων, υπηρεσιών, αρχείων κτλ που χρειάζονται να φορτώσουν).

 

Επίσης όταν λέμε μολύνεται ο υπολογιστής, είναι κάτι πολύ γενικό. Συνήθως έχουμε τη περίπτωση μερικών αρχείων που δημιοργούνται απο ένα πρόγραμμα που τρέχουμε νομίζοντας οτι είναι καθαρό, και μερικά reg keys που δίνουν την εντολή τα βρώμικα αρχεία να ξεκινάνε αυτόματα με τον υπολογιστή, και αυτά τα αρχεία κάνουν τη δουλειά. Τραβάνε δεδομένα, επικοινωνούν με κάποιον server, βγάζουν μηνύματα κτλ κτλ.

Όπως καταλαβαίνεις σε safe mode δεν φορτώνουν αυτά τα αρχεία, και έτσι λέμε οτι σε safe mode είναι πιο εύκολο να καθαρίσεις, μιας και τα αρχεία που δεν είναι φορτωμένα διαγράφονται ή τροποποιούνται.

 

Υπάρχουν όμως τύποι μολύνσεων, που μπορεί να τροποποιήσουν το MBR (Master Boot Record) κατα τέτοιο τρόπο που δεν μπορείς να μπεις ούτε σε safe mode.

 

Και φτάνοντας στο ερώτημα σου, υπάρχουν και μολύνσεις που τροποποιούν και τα αρχεία συστήματος, όπως είναι επι παραδείγματι το explorer.exe (ο εξερευνητής αρχείων). Τέτοιες μολύνσεις τώρα σε σύγχρονα συστήματα είναι πιο δύσκολο να γίνουν, αλλά σε xp ήταν ευκολότερο. Τέτοιοι είναι οι patching virus. Επίσης υπάρχουν και rootkits που κρύβονται σε αρχεία συστήματος, και δεν μπορείς να τα αφαιρέσεις ούτε σε safe mode.

 

Αυτό που πρέπει να κρατήσεις εσύ, έτσι όπως θέτεις το ερώτημά σου είναι το εξής.

Αν έχεις μολυνθεί σε βάθος, ώστε η μόλυνση να είναι ενεργή και σε safe mode, τότε αυτό γίνεται ούτως ή άλλως, χωρίς να έχεις μπει σε safe mode. Δηλαδή δεν γίνεται μόλις μπεις σε safe mode. Για να στο πω αλλιώς, δεν περιμένει ο ιός να μπεις σε safe mode για να το μολύνει και αυτό. ότι υπάρχει φορτωμένο σε safe mode υπάρχει και στην κανονική λειτουργία. Δεν έχει κάτι παραπάνω, μόνο κάτι λιγότερο.

Μη ξεχνάς οτι όταν λες να έχει αποθηκευτεί κάπου, εννοούμε να έχει ήδη γράψει κάπου δεδομένα. Άρα κατα κάποιο τρόπο είσαι ήδη μολυσμένος. Όντως μπορεί με την επόμενη επανεκκίνηση να φανεί, αλλά σίγουρα θα γινόταν και σε κανονική αν είναι να γίνει σε safe mode. Αν είναι δηλαδή να ξεκινήσει με την ασφαλή λειτουργία, σημαίνει πώς ήδη έχει γράψει δεδομένα στον πυρήνα του λειτουργικού σου.

Στις περιπτώσεις που αναφέρατε παραπάνω. Πρέπει να γίνει format για να καθαριστεί ο υπολογιστής; Υπάρχει όμως πιθανότητα και μετά το format να μην έχει φύγει ο ιος; Έχω ακούσει ότι τα rootkit είναι οι πιο φονικοί  ιοι που υπάρχουν και ότι αυτοί φορτώνουν στο MBR δηλαδή από το σημείο του σκληρού δίσκου που κοιτάει ο υπολογιστής (συγκεκριμένα δεν θυμάμαι πιο υλικό του υπολογιστή κοιτάει στο MBR, νομίζω ο επεξεργαστης, αλλά δεν είναι απόλυτα σίγουρος) για να βρει λειτουργικό σύστημα. Και ακόμα μετά από format μπορει ο ιός να υπάρχει. Επίσης άκουσα ότι για να φύγει ο ιός ή οι ιοι ολοκληρωτικά θα πρέπει να γράψουμε πάνω στο σκληρό δίσκο 0 (μηδέ) και 1 (ένα) μέσω ενώς προγράμματος.

 

Όλα τα παραπάνω αλήθεύουν; ή είναι απλές θεωρίες;

[V.I.Smirnov]

Καθόλου θεωρίες.

Αν ο ιός είναι κάποιο ΜΒR rootkit όπως είπε ο flik, είναι δύσκολα τα πράγματα.

 

Αν, ακόμα χειρότερα, είναι κάποιο VBR rootkit (bootkit)...καλά ξεμπερδέματα !

Είχα δει περίπτωση που δεν καθάριζε ούτε με format !

Συγκεκριμένα επρόκειτο για τον ιό Sinowal.

Ο ιός καθόταν σε κάποιο τμήμα του δίσκου έξω από τις ορατές partitions και ήταν απροσπέλαστος από τα κοινά εργαλεία.

Τελικά έγινε σάρωση (wipe) και διαγραφή όλου του δίσκου με το Jetico.BCWipe και ξηλώθηκε.

Ακόμη και εργαλεία όπως το deepFreeze  δεν είναι αποτελεσματικά διότι προστατεύουν μεν το MBR αλλά δεν

μπορούν να "δουν"  έξω από τις partitions. Αν ο ιός έχει κάτσει εκεί, απλώς υπάρχει και καραδοκεί να δράσει

μόλις βρει το MBR απροστάτευτο...

 

Και δυστυχώς υπάρχουν κι άλλοι τέτοιοι....

 

 

-

[Χάρης Μυλωνίδης]

Αν έχεις μολυνθεί σε βάθος, ώστε η μόλυνση να είναι ενεργή και σε safe mode, τότε αυτό γίνεται ούτως ή άλλως, χωρίς να έχεις μπει σε safe mode. Δηλαδή δεν γίνεται μόλις μπεις σε safe mode. Για να στο πω αλλιώς, δεν περιμένει ο ιός να μπεις σε safe mode για να το μολύνει και αυτό. ότι υπάρχει φορτωμένο σε safe mode υπάρχει και στην κανονική λειτουργία. Δεν έχει κάτι παραπάνω, μόνο κάτι λιγότερο.

Μη ξεχνάς οτι όταν λες να έχει αποθηκευτεί κάπου, εννοούμε να έχει ήδη γράψει κάπου δεδομένα. Άρα κατα κάποιο τρόπο είσαι ήδη μολυσμένος. Όντως μπορεί με την επόμενη επανεκκίνηση να φανεί, αλλά σίγουρα θα γινόταν και σε κανονική αν είναι να γίνει σε safe mode. Αν είναι δηλαδή να ξεκινήσει με την ασφαλή λειτουργία, σημαίνει πώς ήδη έχει γράψει δεδομένα στον πυρήνα του λειτουργικού σου.

Ας πάρουμε αυτό το υποθετικό σενάριο ότι μολύνθηκα σε βάθος, και έχω κάποια keylogers τα οποία κάνουν αθόρηβα τη δουλειά τους.

Μπορώ να τα ξεφορτωθώ όλα κατεβάζοντας πχ το Hirens Boot cd να μπουτάρω απο το cd και να τρέξω το online Antivirus της Eset , σωστά;

Η μάλλον θα έχω κάνει μισή δουλειά;

Εννοώ πως πρέπει να είμαι σίγουρος 100% ότι έχω απαλάγει απο τα πάντα malwares,rootkits,keylogers,κτλ.

 

;, χωρίς όμως να αναγκαστώ να κάνω format γιατί έχω δεδομένα που τα χρειάζομαι

Πρέπει να τρέξω ένα Antivirus ή πολλά το κάθε ένα ξεχωριστά για να είμαι 100% σίγουρος ότι δεν έχω τίποτα στο pc;

[V.I.Smirnov]

Αν o ιός είναι κάποιο bootkit, κανένα από τα παραπάνω antivirus δεν είναι αποτελεσματικό διότι

ο ιός επεμβαίνει πριν ξεκινήσει να φορτώνει το boot CD.

Ίσως να βλέπουν ότι ο ιός υπάρχει αλλά δεν θα μπορούν να τον βγάλουν.

Πρέπει να χρησιμοποιηθεί κάποιο ειδικό εργαλείο για τέτοια δουλειά όπως το TDSSKiller.

 

-

[Χάρης Μυλωνίδης]

Αν o ιός είναι κάποιο bootkit, κανένα από τα παραπάνω antivirus δεν είναι αποτελεσματικό διότι

ο ιός επεμβαίνει πριν ξεκινήσει να φορτώνει το boot CD.

Ίσως να βλέπουν ότι ο ιός υπάρχει αλλά δεν θα μπορούν να τον βγάλουν.

Πρέπει να χρησιμοποιηθεί κάποιο ειδικό εργαλείο για τέτοια δουλειά όπως το TDSSKiller.

 

-

Και πως μπορώ να ξέρω ότι έχω κολλήσει κάτι τέτοιο;

Αν δεν μπορώ να μπω σε safe mode όπως είπες προηγουμένως.

[Destro.Malhunt]

Σε γενικές γραμμές, τα rootkits είναι ένα αρκετά μεγάλο πρόβλημα για όλους, λόγου της αυξανόμενης περιπλοκότητάς τους. Σαν malware ένα rootkit δεν είναι κάτι τρελό στον κώδικα του. Το πρόβλημα είναι στις μεθόδους και τους μηχανισμούς που χρησιμοποιεί για να αποφύγει τον εντοπισμό του από τα antivirus. Με τέτοιους μηχανισμούς ένα rootkit μπορεί να αποτρέψει την απομάκρυνσή του από το antivirus πρόγραμμα προσπαθώντας να παρακάμψει ή να απενεργοποιήσει τα μέτρα προστασίας όχι μόνο του antivirus αλλά και του ίδιου του λειτουργικού. 

 

Για να εκτελέσει αυτές τις λειτουργίες (και κατ'επέκταση να επιτύχει στον σκοπό του) το rootkit προσπαθεί να φορτώσει όσο πιο γρήγορα γίνεται κατά την έναρξη του υπολογιστή. Rootkits με τέτοια λειτουργία είναι τα λεγόμενα bootkits. Όπως φαίνεται και από το όνομα, το bootkit  παίρνει τον έλεγχο του συστήματος όσο πιο σύντομα γίνεται καθώς αυτό ανοίγει. Στην πραγματικότητα αντικαθιστά τον boot loader με ένα δικό του αντίγραφο. 

 

Όλα αυτά βέβαια τείνουν να αλλάξουν με την εμφάνιση των Windows 8 που εκμεταλεύεται το secure boot του UEFI  αλλά και ένος feature που έχει: του ELAM. 

 

Για να το καθαρίσεις, στις περισσότερες περιπτώσεις, μπορείς να χρησιμοποιήσεις κάποιο live antivirus cd όπως το kaspersky rescue disk. Σε πιο σπάνιες περιπτώσεις θα πρέπει να καταφύγεις σε wipe του δίσκου όπως είπε και ο V.I.Smirnov παραπάνω. 

 

Edit:

 

Για τα του ELAM, βέβαια, είμαστε ακόμα στην θεωρία

[Χάρης Μυλωνίδης]

να υποθέσω ότι τα προγράμματα p2p δεν είναι και τα καλύτερα απο θέμα ασφάλειας σωστά;

[V.I.Smirnov]

Το ότι έχεις κολλήσει κάτι τέτοιο είναι εύκολο να φανεί : τα antivirus συνήθως το εντοπίζουν.

Αλλά ΔΕΝ μπορούν να το βγάλουν !

 

Προγράμματα όπως τα deepFreeze, shadowDefender κ.α. γενικά προστατεύουν τον υπολογιστή από μόνιμη μόλυνση.

Δεν επιτρέπουν αλλαγές στον δίσκο και μπορείς να δοκιμάζεις ότι θέλεις και να σερφάρεις όπου να 'ναι (σχεδόν)

χωρίς φόβο ότι θα πάθει ζημιά το μηχάνημα.

Αν τυχόν ο υπολογιστής μολυνθεί, κάνεις απλώς ένα restart και φεύγουν όλα.

Όμως, αν δεν έχεις αντιληφθεί ότι το μηχάνημα μολύνθηκε, μπορούν να σου υποκλέπτουν δεδομένα μέχρι να γίνει restart.

Kαι αν συνδέσεις έναν εξωτερικό δίσκο ή usb, μπορεί να μολυνθούν κι αυτά.

Γι' αυτό, ακόμα κι αν ο δίσκος είναι προστατευμένος από εγγραφές με προγράμματα όπως τα παραπάνω,

ένα antivirus χρειάζεται για να εντοπίσει ότι ο υπολογιστής μολύνθηκε.

 

-

[Destro.Malhunt]

να υποθέσω ότι τα προγράμματα p2p δεν είναι και τα καλύτερα απο θέμα ασφάλειας σωστά;

 

Σε γενικές γραμμές τα προγράμματα p2p είναι ασφαλές. Το πρόβλημα είναι στο τι κατεβάζεις και από που.

[Χάρης Μυλωνίδης]

Ποια θεωρείτε ότι είναι τα καλύτερα προγράμματα για να αφαιρέσεις τους περισσότερους ιούς keylogers, malwares;

Freeware αλλά και με πληρωμή αναλόγως ποια χρησιμοποιείτε εσείς προσωπικά.

Καλό το Kaspersky Rescue Disk αλλά δεν έχει πολλά εργαλεία σαν το Hirens Boot cd πχ τέστ μνήμης,σκληρού,κτλ.

[Bax90]

Ας πάρουμε αυτό το υποθετικό σενάριο ότι μολύνθηκα σε βάθος, και έχω κάποια keylogers τα οποία κάνουν αθόρηβα τη δουλειά τους.

Μπορώ να τα ξεφορτωθώ όλα κατεβάζοντας πχ το Hirens Boot cd να μπουτάρω απο το cd και να τρέξω το online Antivirus της Eset , σωστά;

Η μάλλον θα έχω κάνει μισή δουλειά;

Εννοώ πως πρέπει να είμαι σίγουρος 100% ότι έχω απαλάγει απο τα πάντα malwares,rootkits,keylogers,κτλ.

 

;, χωρίς όμως να αναγκαστώ να κάνω format γιατί έχω δεδομένα που τα χρειάζομαι

Πρέπει να τρέξω ένα Antivirus ή πολλά το κάθε ένα ξεχωριστά για να είμαι 100% σίγουρος ότι δεν έχω τίποτα στο pc;

 

φίλε μου, μπορείς πολύ απλά τα αρχεία που χρειάζεσαι να τα κάνεις ένα backup και να τα πάρεις. Και μετά το κάνεις format. Αλλά θα είναι καλύτερο να το κάνεις και ένα wipe για να έχεις το κεφάλι σου ήσυχο

[V.I.Smirnov]

1) Βάλε κάτι όπως το shadowDefender ή το deepFreeze για να μην μπορεί να τροποποιηθεί ο δίσκος από

κακόβουλα προγράμματα. Το shadowDefender δεν προστατεύει το mbr αλλά είναι πιο εύχρηστο διότι επιτρέπει

την εξαίρεση συγκεκριμένων φακλέλων και αρχείων ενώ το deepFreeze καλύπτει το mbr αλλά παγώνει αδιακρίτως

ολόκληρη την partition.

2) Βάλε ένα κοινό antivirus ώστε απλώς να ξέρεις πότε και αν έχεις μολυνθεί από κάτι.

 

Αν το antivirus εντοπίσει ότι κάτι ύποπτο συμβαίνει, κάνεις restart και ξεμπερδεύεις.

Δεν θα παιδεύεσαι για να τα ξηλώσεις με διάφορα εργαλεία αμφίβολης αποτελεσματικότητας.

Ούτε θα εγκαθιστάς κάθε φορά ένα πλήρες αντίγραφο (image) του δίσκου (κάτι που τον φθείρει όταν

γίνεται συχνά).

Έτσι θα είσαι προστατευμένος σχεδόν στην πλειοψηφία των περιπτώσεων.

 

Τα εργαλεία αυτά (light virtualization) προστατεύουν από μόνιμη μόλυση αν αυτή γίνει όταν τρέχουν.

Π.χ. αν απενεργοποιηθεί το deepFreeze για να εγκαταστήσεις κάτι και τότε μολυνθεί το mbr,

η επανενεργοποίηση του deepFreeze δεν προσφέρει τίποτε διότι θα προστατεύει έναν μολυσμένο δίσκο.

Αυτό είναι το μόνο που πρέπει να προσέχεις αν ακολουθήσεις μια τέτοια λύση.

 

Ακόμα πιο "σκληροπυρηνική" λύση είναι να τρέχεις τα πάντα μέσα από κάποια εικονική μηχανή (full virtualization).

 

-

[Bax90]

εγώ ξέρω ένα άλλο πρόγραμμα για ολική διαγραφή του δίσκου, το active killer. Ξέρετε αν είναι καλό ή όχι;

Είναι πιο καλό από το Jetico.BCWipe;

 

Επίσης, ποια είναι η διαφορά μεταξύ του deepFreeze και του shadowDefender;