Первоначальные настройки
Прежде всего, необходимо обезопасить свой компьютер от возможной кражи информации. Нам приходилось сталкиваться с ситуацией, когда шпионское ПО на компьютере активиста собирало все вводимые данные и записывала в файл, а при соединении с интернетом передавало на компьютер хакера. Такая технология может использоваться для чтения сообщений ICQ, почты, кражи паролей от почтового ящика, доступа к сайту и т.д. В связи с этим, начать нужно с блокирования на Вашем компьютере программ, устанавливающих несанкционированные соединения с интернетом.
Начнём с блокировки наиболее опасных уязвимостей системы. Существует перечень ошибок, используемых вирусами и хакерами для проникновения на Ваш компьютер. Значительную часть из них можно закрыть, воспользовавшись утилитой (актуально для старых систем):
http://www.saytostroy.ru/download/wwdc.exe (50Кб)
Последовательно заблокируйте все до сих пор не отключенные сервисы при помощи кнопок "Disable". Перезагрузите компьютер.
Установите на свой компьютер антивирус. Современные антивирусы выполняют не только мониторинг файлов, к которым получает доступ компьютер, но и ведут учёт сетевой активности, выполняют поиск вирусов в почтовом трафике, ICQ. Не каждый активист потянет покупку платного антивируса, к тому же, требующего оплату за обновления. Поэтому порекомендую неплохой бесплатный антивирус, который, тем не менее, не уступает коммерческим — CoMoDo (http://www.comodo.com/). В нём имеется и встроенный файрвол, значительно более прозорливый, чем встроенный в Windows брандмауэр.
Для повседневной работы в сети настоятельно рекомендуем использовать файрвол. Это программа, отслеживающая соединения с интернетом и управляющая ими, исходя из запретов, которые задаёт пользователь. Скачайте и установите бесплатную версию файрвола ZoneAlarm с сайта
http://www.zonealarm.com/ (она называется ZoneAlarm Basic Firewall). Скачать программу можно и вот отсюда.
После установки программа будет периодически задавать вопросы о том, каким программам следует предоставить доступ в интернет, а каким следует запретить. Изучайте информацию о запрашивающей доступ программе и принимайте решение. Проще всего руководствоваться принципом мотивированности: если Вы ничего не предпринимаете, а неизвестная программа запрашивает доступ к интернету, ей следует отказывать. Для удобства в диалоге о запросе интернет-соединения поставьте галочку напротив опции "сохранить выбор". В последствии для этой программы вопрос задаваться не будет.
В процессе работы
Внимательно следите за индикатором передачи данных и настораживайтесь в том случае, если он мигает без повода (в этот момент не просматривается интернет-сайт и не перекачивается почта). Большое количество немотивируемо передаваемого трафика может свидетельствовать о краже конфиденциальной информации или об использовании компьютера в целях злоумышленника. В этом случае нужно срочно отключить компьютер от интернета и искать источник создаваемого трафика. К сожалению, с этим может справиться только пользователь, достаточно разбирающийся в компьютерах, но для наиболее любознательных предлагаем полезную утилиту TcpView:
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx Утилита отображает активные соединения и те процессы в системе, которым они принадлежат. Если в списке программ Вы увидите что-то незнакомое или подозрительное, жмите правую клавишу мыши и выбирайте пункт "End process..." Этим на какое-то время можно деактивировать вредоносную программу. Для её нахождения и удаления можно использовать пункт меню "Process properties..." - программа отобразит путь к исполняемому файлу процесса. Находим и уничтожаем.
Вероятнее всего, вредоносная программа уже успела "поселить" себя в Вашей системе, прописавшись в автозагрузку. При помощи утилиты Autoruns:
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx можно исследовать различные разделы системы, где она может быть прописана, и удалить её. Если есть какие-то сомнения относительно намерений программы, можно пока снять галочку в поле напротив программы. В дальнейшем опцию автозапуска в этом случае можно будет восстановить.
Поиск заразы
Наиболее эффективным способом обнаружения т.н. кейлоггеров (программ, записывающих все вводимые с клавиатуры данные) является поиск по содержимому файлов. Зайдите в "Пуск" - "Найти" - "Файлы и папки..." В поле поиска по содержимому файла введите какую-нибудь комбинацию букв, которая навряд ли может встретиться на компьютере, например, "НБП_123456". Произвидите поиск по всем носителям компьютера. Ни одного файла не должно быть найдено. В том случае, если был найден подозрительный файл, возможно, с расширением ".txt", ".log" или каким-либо другим, нужно бить тревогу. Отключайтесь от интернета и изучайте запущенные в системе процессы:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx Что-либо, начинающееся на "tmp", "temp", "game", "sex" и т.п. скорее всего окажется вирусом. Часто подобные программы скрываются, маскируясь под системные процессы, используя похожие имена. Для любознательных есть прекрасный материал для изучения - описание стандартных системных процессов:
http://www.securitylab.ru/processinfo/ Удаление заразы
Часто вирусы или специально запущенные троянские программы бывает удалить не так-то просто: они блокируют доступ не только на чтение, но и на удаление своих данных. Но на такую хитрость есть и другая хитрость — удаление вредоносного файла на стадии загрузки системы, когда ему ещё не передано управление. Для этого есть утилита PendMoves:
http://technet.microsoft.com/en-us/sysinternals/bb897556.aspx Для удаления файла при следующей загрузке в качестве «получателя» укажите пустые кавычки:
movefile test.exe ""
Общие меры предосторожности
Будьте осторожны с данными, поступающими из ненадёжных источников. Новые программы желательно проверять антивирусом, а ссылки в ICQ и почте от незнакомых людей не открывать. Под видом страниц могут скрываться вирусы, заражающие компьютер. Не открывайте почтовых вложений в виде исполнимых файлов (обратите внимание: они могут быть не только в формате ".exe", но и ".com", ".pif", ".lnk", ".url" и т.д.). Часто в ICQ незнакомые люди просят Вас открыть какую-нибудь страничку. Будьте предусмотрительны - возможно, это попытка заражения.
Аналогично по почте могут поступать сообщения якобы от службы поддержки, смежных служб почтовой службы («Мир Мейл.ру», открытки, фотосервис и т.д.). Поскольку логин для всех сервисов общий, то злоумышленник может получить пароль от Вашей почты через другие сервисы. Широко применяемым способом является отправка письма, стилизованного под форму авторизации. Вы вводите свой пароль и он тут же попадает к злоумышленнику. Подумайте несколько раз перед тем, как столь опрометчиво распоряжаться важными данными, проверьте адресную строку браузера, а также, если умеете, куда передадутся данные формы. Вцелом лучше вообще отказаться от использования подобных форм, а входить в почтовый сервис только с главной страницы.
Почтовый ящик лучше иметь либо на платном хостинге, либо на зарубежном сервисе. Зарекомендовала себя служба Gmal.com. Кроме размещения физического сервера зарубежом, Gmal использует шифрованное соединение, что позволяет дополнительно обезопасить себя от кражи передаваемых сообщений (такая опция есть в настройках — включите обязательное использование протокола HTTPS). Порекомендуйте Вашим собеседникам по e-mail завести так же почтовый ящик в Gmail и общайтесь только через него. Это обеспечит безопасность корреспонденции и дополнительную головную боль для сотрудников спецслужб. Во всяком случае, пока этот способ общения считается относительно надёжным, хотя у спецслужб потенциально есть в распоряжении система СОРМ для перехвата данных.
ZyXel
Источник
http://www.nazbol.ru/rubr15/5375.html
- участник сейчас на форуме
- участник вне форума