Dziwne procesy i zachowania komputera

...czyli domowe sposoby na rozpoznawanie że nasz komputer jest zainfekowany jakimś świństwem.
No wlasnie - macie takie? Od jakiegoś czasu zastanawiam się jak przy podstawowej ochronie komputera tj. firewall + darmowy antywirus np. MSE (win defender) w razie dostania się jakiegoś paskudztwa samemu je wykryc?

Wyobrazmy sobie taka sytuacje:
wchodzisz na mniej znaną stronę z filmami (coś np. jak vimeo ale jeszcze mniej znane) odpalasz filmik i wyskakuje reklama a w zasadzie osobne okno z tą że reklamą. Zastanawiam sie czy w takiej reklamie po kliknieciu wlasnie w na przyklad "otwórz klip" może kryc sie wirus i dostac sie do kompa pomimo tego windowsowego fire walla i antywirusa? Oczywiscie wiem,ze przegladarka powinna byc najnowsza bo wiadomo ze to tez jakies zabezpiecznie jednak czy istnieje jakies ale (...) ?

Co wiecej - przeglądarka w trybie prywatnym - nie zapisuje żadnych danych na kompie. W takim razie czy w razie ekspansji wirusa w takiej wyskakujacej reklamie (osobne okno), ktory dostaje sie do komputera w jakimś ciasteczku a przegladarka jest w trybie prywatnym i nie zapisuje ich zostajemy zainfekowani?

Jakie znacie domowe sposoby na wykrycie świństw w komputerze pochodzących właśnie z takich reklam i temu podobnych?
Zapraszam do dyskusji.

Z Flasha rzadko się coś łapie,
Za to nieaktualna Java, jedna krótka wizyta na odpowiedniej stronie (nie musisz nic klikać) i jakiś nieznany exek automagicznie się otwiera - mówię z doświadczenia ;]

Po czym wykrywać nieznane zagrożenia - tutaj z pomocą służy dobry firewall, który:

• pokaże Ci program, którego wcześniej jeszcze nie uruchamiałeś i zapyta czy zezwolić na taką akcję
• (niekoniecznie, ale ja lubię) zapyta kiedy jedna aplikacja uruchamia drugą
• zapyta, kiedy jakiś program uzyskuje dostęp do internetu (osobno z połączeń wychodzących jak i przychodzących)
• zapyta, kiedy uruchamiany plik exe jest inny niż ostatnio

Antywirusy to programiki łapiące najpopularniejsze syfy, mocno zmulające system, za to zupełnie się nie sprawdzą w walce z czymkolwiek nowym, albo dobrze napisanym.

Dwa przykłady moich doświadczeń:

• Pobieram gierkę, którą ktoś tam polecił (razem z linkiem), instaluję, uruchamiam. Gierka się uruchamia, ale firewall pyta o jeszcze jeden plik - jakiś plik o nazwie typu: ewriu2rf4.exe umieszczony w TEMP-ie. Blokuję, gra się uruchamia bez problemu mimo to, ja zaglądam do TEMP-a, widzę ten plik, brak ikony, niewielki rozmiar (typowe cechy wirusa). Wysyłam na virustotal.com - 0/42 programy antywirusowe widzą w tym wirusa. A ja jestem bardziej niż pewien, bo kiedyś już tę gierkę miałem i czegoś takiego z nią nie było. Firewall uratował mi dupsko.

• Wchodzę na stronę, bo ktoś podał linka. W systemie aktywna Java, stara, bo mi się nie chciało aktualizować. W momencie zwykłego wejścia na stronkę wyskakuje pytanie Firwalla o uruchomienie czegoś tam, kątem oka zauważam tylko "update", akceptuję z przyzwyczajenia (to błąd!, ale aktualizacje systemu to za każdym razem nowy "exe", więc firewall zawsze pyta o każdą aktualizację..). Wyskakuje kolejne okienko, przykuwa moją uwagę - plik z TEMP-a uruchamia inny plik. Blokuję. Wyskakuje informacja, że Windows Update BEZPOŚREDNIO chce łączyć się z internetem (windows update pobiera aktualizacje korzystając z innych części systemu, więc sam wuauclt.exe nigdy nie łączy się z internetem). Blokuję, jako, że program atakuje serią połączeń tworzę blokadę na stałe. || Na szybko: Pochodzenia tego nie udało mi się odnaleźć, ale mój komputer stał się częścią botnetu. Wysyłka jakichkolwiek plików z kompa na virustotal.com - 0/42

Jak wykrywać? Firewallem. Gdy jest już za późno - obserwować nowe procesy, szczególnie te z TEMP-a i podobnych lokalizacji, szukać plików o nazwach zbliżonych do tych systemowych, patrzeć co łączy się z Internetem (tu też potrzebny firewall - dodam, że to coś z windowsem to nie firewall, tylko namiastka czegoś w tym stylu).

TRYB PRYWATNY przeglądarki przed niczym nie chroni! Jeżeli wirus samoczynnie uruchomi się z jakiejś strony (głównie z pomocą wtyczek, rzadko przeglądarka ma taką dziurę, czasy IE6 minęły ;)), to to jakiego trybu wtedy używałeś nie ma już znaczenia.

Co innego Sandboxing. Tutaj odsyłam gdzieś do wiki, bo za dużo, żeby pisać samemu. Podejrzewam jednak, że z takiej piaskownicy da się i tak "wyskoczyć", jednak większość wirusów jest prosta, na prostych ludzi, z prostymi programikami antywirusowymi, których można spokojnie atakować, a za 3 miesiące jak wykryją zagrożenie - napisać nową wersję.

Jezeli wchodzisz na strone, ktora zamula kilka sekund a potem przegladarka wylacza sie bez crasha - to wiedz, ze cos sie dzieje.
Jezeli po otwarciu aplikacji exek znika - to wiedz ze cos sie dzieje.

Antywirusy to programiki łapiące najpopularniejsze syfy, mocno zmulające system, za to zupełnie się nie sprawdzą w walce z czymkolwiek nowym, albo dobrze napisanym.

Wszelkie Exploit Shieldy (jak chociazby EMET) i silniki heurstyczne staraja sie wypelnic ta luke.

Zabezpieczanie się przed syfem nie jest takie trudne. Po pierwsze firewall obowiązkowo, choć to dzisiaj standard (mi wystarcza w zupełności wbudowany w system - dziś niemal każdy). Drugą sprawą blokada uruchamiania się kodu z zewnątrz: Tu standardowe wywalenie autorun.inf z os-ów M$ jako coś więcej niż plik tekstowy. Następnie wywalenie z przeglądarki javascriptu, a najlepiej wszystkich możliwych skryptów lub kodu jaki może odpalić przeglądarka z serwera. Dla mnie nieocenionym dlatego jest wciąż FF z dodatkiem noscript. Kolejna rzecz - wywalenie z autostartu wszystkiego co zbędne (często wszystkiego). Przy okazji system dostanie małego kopa (poza tymi, które mają wbudowany boot a la hibernacja, np. Win8). Pozornie nie ma to związku, lecz monitorowanie co się odpala ze startem systemu pomaga w utrzymaniu syfu z dala od komputera (w Win przydaje się programik Autoruns). Następna - jakikolwiek lekki dla systemu antyvir. Lekki w sensie jak najmniejszego spowalniania go. Kiedyś używałem w tym celu NAV, ale z darmowych tę samą funkcję spełnia Avast skrojony przy instalacji do wersji darmowej z 2-3 podstawowymi osłonami monitorującymi (obowiązkowo pliki). Do tego do samego ściągania plików wykonywalnych (znaczy instalatorów offline) jakiś aktywny virtual PC z zainstalowanym os tego samego typu i włączonymi paranoicznymi monitorami (firewall, av z heurystyką na maks. itp.) Po 1-3 miesiącach bezproblemowego działania i braku jakichkolwiek alarmów pliki z VM przenoszę do podstawowej maszyny do własnego prywatnego repozytorium "dobrych programów".
Efekt jest taki jak u mnie, czyli brak jakiegokolwiek syfu na własnych kompach od ponad 20 lat. Ostatni raz dłużej walczyłem tylko z Angeliną, którą przynosili studenci na dyskietkach 360 KB/1.2MB. No, ale to nie było moje... :)

A jeszcze co do tematu. Mając czysty system najlepiej sobie skalibrować jakiś stress programik tak aby stresował kompa tylko do granicy aktualnie posiadanej pamięci i zapakować go do autostartu tak, żeby odpalał się jako ostatni. Każdy nowy soft, który się wepnie spowoduje przegięcie parametrów i komputer momentalnie i bardzo wyraźnie zwolni. Kiedy coś takiego się zdarzy zaczynam węszyć i zazwyczaj od razu udaje się coś namierzyć. To akurat na komputerach znajomych i klientów bo na swoich z przyczyn oczywistych nic takiego nie ma jak się zdarzyć (no chyba, że właśnie na VM).

Jak zabezpieczyć się przed malware.
Pracuj na koncie z ograniczonymi uprawnieniami. Mniejsza szansa ,że wirus coś namiesza.
Włącz menedżer zadań i sprawdź czy nie ma jakiegoś podejrzanego procesu.
Jeśli jakaś nazwa jest podejrzana wpisz ją do googla. Jeśli w wynikach jej nie będzie znaczy,że jest to prawdopodobnie malware.
Najważniejsza i tak jest ostrożność. Pobieraj oprogramowanie tylko i wyłącznie ze strony producenta.
Stwórz sobie najlepiej obraz systemu acronisem i jak wirus coś namiesza to wystarczy ,że przywrócisz
obraz i będzie git