Ai programe nedorite pe calculatorul tau?

Stiinta, tehnica si descoperiri...
bine.

Ai programe nedorite pe calculatorul tau?

Mesaj de bine. » 13 Iul 2008, 20:52

E greu de spus cu siguranta. De ce? Deoarece se pot ascunde in diverse locuri, in mod foarte inteligent.

Asa ca idee... Sunt citeva locuri unde programele nedorite, de diverse tipuri, se pot ascunde pe computere.
Locul tipic este sa "infecteze" fisiere de pe hard drive. Poate fi in fisiere de date (cum ar fi poze, videoclipuri, documente), dar mai ales in fisiere ale sistemului de operare, care nu sunt mutate sau eliminate in mod normal de catre utilizatori.
Alte locuri ar fi in mesajele de email. Sau in volumele de date portabile, cum ar fi flash drive-uri sau dischete (daca inca le mai foloseste cineva...).
Ei bine, dupa ce lumea a inceput sa foloseasca programe anti-virus, si variantele lor specializate pe diverse moduri de atac, creatorii de programe "rele" (malware) au devenit mai sofisticati.
Astfel, s-au dezvoltat metode care permit ascunderea de programe nedorite in asa fel incit sa fie invizibile programelor de protectie. Ideea este sa pornesti programul nedorit inainte de a fi pornit programul de protectie.
Unul din aceste locuri care era foarte popular mai demult si devine din nou o amenintare serioasa este o locatie de pe hard drive denumita MBR (Master Boot Record). Aceasta structura este la folosita pentru accesul la sistemele de organizare a fisiereleor de pe hard-drive, deci programul nedorit ascuns aici se poate camufla contra metodelor de detectie pornite (inevitabil) mai tirziu, de pe acelasi hard-drive.
Un asemenea program poate de asemenea ascunde informatie in sectoarele libere de pe hard-drive, deci nu va folosi fisiere din structura aparenta.
Daca volumul care contine MBR este pus in situatia de a fi analizat inainte de a fi activat sistemul de fisiere (adica daca computerul porneste cu un sistem de operare de pe un alt volum - de exemplu de pe un CD), atunci ar fi sanse sa fie nu numai descoperit programul nedorit, dar si eliminat.

Toate acestea au fost cunoscute de mult timp, dar mai nou sistemele de camuflaj au devenit si mai sofisticate, incit urmatoarele locuri sunt de asemenea considerate locuri posibile, care sunt sau vor fi exploatate mai devreme sau mai tirziu: este vorba de memoria nonvolatila (de obicei de tip flash) din urmatoarele locatii:
BIOS-ul computerului, flash-ul cu setarile de pe cartela video, flashul cu setari de la hard-drive, flash-ul de pe Router (daca folosesti asa ceva)

Ce urmaresc aceste programe nedorite?
La modul ideal, doresc sa indeplineasca functia de "super-downloader", adica un vehicul pentru a transfera informatie intre computerul tinta si computerul "Stapin".
Cu acest tip de program (uneori denumit "backdoor") alte programe pot fi incarcate si pornite, iar rezultatele pot fi recuperate.
Spre exemplu, folosind un backdoor, poti incarca un keylogger care citeste ceea ce tiparesti la tastatura ( numarul si parola de la contul in banca?) si le trimite inapoi la "Stapin".

In ultima vreme, programele nedorite din cel mai sofisticate folosesc chiar functiile sistemului de operare ca sa indeplineasca misiunea incredintata.
Printre altele , aceste programe pot rezolva semnaturile de control ale fisierelor protejate din sistemele de operare produse de Microsoft (cum ar fi Vista), sau pot evita blocajul sistemului de operare (cum ar fi Microsoft Vista) daca nu faci inregistrarea intr-un anumit interval de timp, de asemenea anuleaza metoda de blocare folosita in DMR (Digital Management Rights) pentru a evita copierea de fisiere cu continut copyright.

O intrebare rezonabila este; cum poti fi "infectat" de asemenea programe?
Pina nu demult, email-ul era primul suspect, acum volumele "flash" portabile sunt foarte populare si astfel au devenit de asemenea un purtator de malware.
Dar cel mai interesant este mecanismul "drive-by Malware", in care utilizatorul este infectat prin simplul acces la un site de pe internet. Nu este nevoie sa fie un site "ciudat", ba chiar dimpotriva. Programul nedorit poate fi ascuns, asteptind in ambuscada, in diverse feluri; daca serverul a fost compromis, atunci serverul poate fi instruit sa serveasca programul nedorit printre multe alte componente din traficul normal. Sau daca utilizatorii au dreptul sa incarce continut activ pe serer, unul din module poate executa transferul.

Sau, o metoda si mai simpla: Postezi un mesaj pe un forum, care iti incarca un website cu ceva Java script, sau o animatie flash, sau chiar o poza sau un video clip - iar inauntru ascunzi programul nedorit.
Utilizatorii se uita cu interes la "subiect" care este ales corespunzator cu gusturile celor de pe forumul respectiv, iar in acest timp programul nedorit exploateaza imperfectiuni existente in programele incarcate pe computerul tinta (inclusiv in sistemul de operare) pentru a executa "infectia".
Un program nedorit manevrat inteligent lucreaza "din umbra", fara sa consume resurse prea multe, asa incit nu iti va da de gindit. Unele din aceste programe malware moderne (cum ar fi "bootkit"-urile pentru Vista) folosesc circa 0.01% din resursele procesorului si folosind mecanismele sistemului de operare nici nu incarca memoria suficient de mult ca sa devina suspicioase.

Deci, avem programe nedorite pe calculatoarele noastre? Greu de spus cu siguranta, dar se poate intimpla oricind si oricui, atita vreme cit calculatorul nu este complet izolat.
Ce e de facut? Back-up poate ca ajuta, dar nu rezolva problema cu informatia "scursa" despre parole si aconturi de diverse feluri.
Se discuta mult, pro si contra, despre TPM (trusted platform module), o metoda de protectie folosind hardware pentru encriptie, dar deocamdata nu este clar daca si cum va fi folosit de catre public.

Situatia curenta este poate similara cu situatia militarilor de la transmisiuni, care aveau mereu afisat la vedere mesajul "Atentie, dusmanul asculta!" :mad:
Oricind faci click pe un link poate fi momentul cind iti infectezi calculatorul. Dar nu vei stii cind s-a intimplat cu siguranta... sau poate nu vei stii ca s-a intimplat nimic, niciodata.
Sau poate ai noroc si lupul alege alta oaie. :grin: Sau poate n-ai nimic de ascuns si atunci nu conteaza.

aurora

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de aurora » 14 Iul 2008, 02:52

Si asta ar face parte din "unde sunt drepturile omului?"

Inteleg ca nici cei care "au ceva de ascuns" nu se prea pot proteja inca,
asa ca noi, utilizatorii civili, putem dormi linistiti :grin:

Asta e ca si mancatul sanatos" in zilele noastre.

bine.

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de bine. » 14 Iul 2008, 03:18

aurora scrie:Si asta ar face parte din "unde sunt drepturile omului?"


Ideea asta cu "drepturile" omului este oarecum depasita, pe motiv de rezultate practice nedorite. Dar nu e "frumos" sa admiti aceasta realitate.
De fapt in multe civilizatii este considerat imoral sa permiti unei alte persoane sa pastreze bunuri pe care nu le poate proteja.
Dupa cum explica un hot de buzunare unui militian care il prinsese in flagrant;
"Daca (victima) a stat cu buzunarul spre mine, eu ce puteam sa fac? (mincati-as)" #-o :-k

aurora scrie:Inteleg ca nici cei care "au ceva de ascuns" nu se prea pot proteja

Nimic si nimeni nu este perfect, toata lumea face greseli mai devreme sau mai tirziu si daca miza este suficient de mare se vor aloca suficiente resurse (de ambele parti).
Cuvintul cheie este MIZA. De exemplu, daca conduci un Ford, poate ca e suficienta protectie cind incui usa, dar daca era un BMW atunci iti trebuie un sistem anti-furt mai sofisticat.

aurora scrie:asa ca noi, utilizatorii civili, putem dormi linistiti

Exact, dar dupa ce iti faci un plan adecvat, pe masura nivelului de protectie dorit. Ceea ce conteaza, de exemplu, poze de familie, le copiezi in doua exemplare si le pastrezi in doua locuri diferite, o copie in dulap si una o pui in plic sa o pastreze altcineva din familie (in care ai incredere suficienta). Si atunci cind pierzi hard drive-ul din vreun motiv sau altul, ai o grija mai putin si dormi mai linistit... :grin:

aurora

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de aurora » 14 Iul 2008, 03:26

bine scrie:... poze ...

au, mi-am adus aminte de doamna profesoara :mad: nu s-a protejat! :-x

bine.

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de bine. » 15 Iul 2008, 14:09

Pentru persoanele tipice care folosesc Internetul nu este deloc usor sa se protejeze de programe nedorite. Si totusi oricine poate contribui la reducerea pericolului, sprijinind entitati specializate in lupta contra programelor nedorite. In cele ce urmeaza am sa incerc sa descriu un proces la indemina oricui. Rezultatele sunt din pacate numai statistic pozitive, cu alte cuvinte nu garanteaza protectia individuala, dar pe ansamblu contribuie la crearea unei comunitati online cu mai putine surse de programe nedorite.

Cel mai popular nume in cautarea informatiei pe Internet, Google, ofera de asemenea un serviciu de raportare a website-urilor suspicioase in ce priveste programele nedorite.
Sa zicem ca pornesti o cautare pe Google; "report malware" - aceasta va raspunde printre altele http://www.google.com/safebrowsing/report_badware/

Pe acel site introduci adresa site-ului suspicios si eventual o scurta descriere a circumstantelor si trimiti raportul. Persoane specializate, cu pregatirea adecvata (mai mult sau mai putin) vor avea astfel ocazia sa studieze problema si sa ia anumite masuri, cu speranta ca amenintarea raportata va fi eliminata (cel putin temporar, de pe acel web-site, pina apare in alta parte...)

Iata un alt site, recomandat de Google, care ofera multe informatii utile pentru protectia contra programelor nedorite: http://www.stopbadware.org/
Cu rabdare si alocarea timpului necesar pentru a intelege ideile, se poate invata cite ceva din link-ul de mai sus.

Cum iti dai seama ca un site este suspicios? Din pacate de cele mai multe ori iti dai seama cind este prea tirziu, sau nu iti dai seama deloc.
De aceea este indicat sa nu faci click decit pe web-situri in care ai INCREDERE. Aceasta notiune este extrem de vaga, dar daca reflectezi la aceasta notiune devine evident ca este cea mai potrivita.

bine.

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de bine. » 15 Iul 2008, 14:39

As dori sa dau exemple, care sa ilustreze in oarecare masura idea de mai sus. (faci click pe link dupa criteriul INCREDERE)
Fiecare din noi are incredere in acest website, taclale.net . Si setarile din web-browser-ul folosit pentru a privi site-ul reflecta aceasta incredere.
Uneori apar link-uri externe, cum ar fi youtube.com . Multi dintre noi cunoastem acest site de asemenea si avem incredere sa facem click.
Dar alte link-uri nu sunt cunoscute, deci se pune intrebarea: cita incredere poti avea sa faci click pe acele link-uri?
Raspunsul depinde de la persoana la persoana, dar daca esti preocupat sa nu fii "infectat" de programe nedorite, nu trebuie sa ai incredere in site-uri necunoscute!

Un exemplu recent; un topic deschis relativ recent pe taclale.net : viewtopic.php?f=2&t=17739
Acolo, un nou membru al forumului deschide un topic fara sens si insereaza un link. Daca esti curios (...ca majoritatea persoanelor normale), faci click pe link si ajungi la un site complet necunoscut - in care nu poti avea nici cea mai mica incredere. Dar daca esti precaut (...mai rar, dar mai sunt unii si asa), pui unu si cu unu si te abtii sa faci click.
Dupa cum s-a dovedit mai tirziu, dintr-un motiv sau altul s-au luat masurile cuvenite si s-a editat acel link, eliminind potentialul pericol. Foarte bine!

Alt exemplu? Doresc sa subliniez ca in exemplul urmator nimeni nu este acuzat de nimic, este pur si simplu un exemplu ilustrativ, cu valoare educationala.
Paranoic? Posibil, dar asta nu inseamna ca nu poti avea motiv de suspiciune. Ca sa revenim la ideea de mai sus - cuvintul cheie este INCREDERE.
Si acum exemplul: un user posteaza o poza intr-un mesaj, la un topic foarte popular, citit de foarte multi.
viewtopic.php?f=2&t=17713&p=540503#p540503

Mesajul include poze, ceea ce este si mai popular - sa admitem ca ne plac pozele, o poza face cit o mie de cuvinte...
Daca citezi mesajul (sau faci right-click pe poza -> Properties), poti observa sursa unei poze: http://s148228575.onlinehome.fr/pribabe2.jpg

Acesta este un site personal, unde proprietarul poate incarca (aproape) orice program doreste pe serverul respectiv.
Mentionez inca odata ca nimeni nu este acuzat de nimic, este un exemplu.
Totusi acest gen de link poate citi si loga tot felul de informatii de pe computerele care acceseaza poza (inclusiv IP-ul, tipul de browser, sistemul de operare), si de asemenea poate servi TEORETIC VORBIND tocmai acele programe nedorite despre care discutam aici, denumite generic drive-by malware.

Practic vorbind, numai daca ai evidenta poti face afirmatii. Daca nu ai evidenta, nu poti spune nici ca e sigur, nici ca e riscant, si cu atit mai putin care este riscul.
Mai mult, deoarece acest tip de server poate fi de asemenea compromis, fara stirea proprietarului declarat oficial (de exemplu cineva ii poate fura parola de acces la server), chiar si in cazul cind s-ar dovedi ca serverul este sursa de malware nu poti afirma cu siguranta ca este vina proprietarului declarat oficial.

Si atunci ce ramine? Ramine INCREDEREA. In site-ul taclale, in membrul care a postat poza si in siguranta serverului folosit pentru a servi poza pe computerul fiecaruia.
Increderea asta poate sa fie justificata sau nu, dar oricum, va ramine o atitudine personala, o adopti sau nu dupa cum consideri necesar.
Totusi daca reflectezi la cele de mai sus poti deveni mai constient de situatia reala si de pericolul potential la care te expui.

Inca o data precizez ca toate cele de mai sus sunt scrise fara nici o intentie de a acuza pe nimeni de nimic,
doar cu buna intentie de a oferi un prilej de reflectie cu valoare educationala.
Ultima oară modificat 15 Iul 2008, 16:07 de către bine., modificat 1 dată în total.

pribeag

Re: Ai programe nedorite pe calculatorul tau?

Mesaj de pribeag » 15 Iul 2008, 15:05

Am trecut printr-o chestie de asta si solutia cea mai simpla mi s-a parut:

0 - revenire la o configuratie anterioara primirii virusului -uneori e dificil pentru ca-s salvate cam ultimele 21 de zile

1 - deconectare de la internet a computerului. evident aici e nevoie de un alt computer care e conectat la internet pentru downloads etc

2 - curatat ce-i urcat in memoria calculatorului cu un tool de tip hijackthis - mare atentie. Se mai poate repeta pasul asta la citeva zile pentru a nota evolutia programelor in memorie - TSR - terminate and stay resident

3 - instalat si rulat un antivirus si vazut ce descopera ala - eventual dezinstalat si instalata un altul - nimeni nu-i perfect - aici chestia e simpla majoritatea ofera 15-30 de zile gratis - sint 3-4 programe antivirus disponibile pe piata, unul chiar romanesc

4 - instalat si rulat un malware similar cu 2 - sint 3-4 solutii pe piata unele arata ca ai malware

5 - exista un tool pentru curatat "regedit" - cclean

6 - instalat un firewall si inchisa "iesirea". Setat sa arate care-s programele care cer acces afara - acestia sint clientii potentiali. Repetat asta un interval de zile/saptamini - poate Gigi l-a setat lunar :rotfl:

Ati avut figuri de astea? Cum ati rezolvat - evident fara cazul cu reformatare, reinstalat tot etc?

Scrie răspuns