2. Mikor gyanakodjunk vírusfertőzésre

Default book

Felmerül a kérdés, hogy mikor gyanakodjak vírusfertőzésre? Az alábbi jelenségek bármelyike lehetséges vírusfertőzésre utalhat.

  • Ha a víruskereső jelez, és megpróbálja kiirtani a vírust, de nem tudja.
  • Partnereink jelzik, hogy vírusos leelet kaptak tőlünk. Itt figyelni kell a SPAM-ekre, mert nem biztos, hogy egy automatikus válasz valódi vírusjelzés.
  • Egyes fájljaink ok nélkül eltűnnek, vagy megsérülnek, az Asztalról eltűnnek ikonok!
     
  • Ha a számítógépünk feltűnően lassabban indul, mint korábban
    • A számítógép indulásakor sok program indul el a háttérben, sőt az asztal betöltődése után is beindulnak programok. Vírusos esetben a rendszer lassabban válaszol a szokottnál a felhasználó beavatkozásaira.
    • A programok egy része úgynevezett szolgáltatás, aminek általában nincsen a tálcán látható jele, más része szokásos program, aminek az ikonja a tálcára kerülhet.
    • Az indulás leellenőrzése:
      • Szolgáltatások - Start Menü/Beállítások/Vezérlőpult/Felügyeleti eszközök/Szolgáltatások
      • Program - Regisztrációs adatbázisból
        • Start Menü/Futtatás/Regedit/HKEY_CURRENT_USER/Software/Mivcrosoft/Windows/CurrentControlSet/Run
        • Start Menü/Futtatás/Regedit/HKEY_LOCAL_MACHINE/Software/Mivcrosoft/Windows/CurrentControlSet/Run
      • Program - Start Menü/Programok/Indítópult
      • Device driverek (Rootkitek egy része)
        • Start Menü/Futtatás/Regedit/HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services
    • Lehet vakriasztás is, ugyanis nagyon sok program telepítéskor a saját moduljait beteszi az automatikusan induló alkalmazások közé - teljesen feleslegesen - és ez is lassíthatja a rendszert (pl. Acrobat Reader, Quicktime, Winamp)
  • A számítógép akkor is forgalmaz az interneten, amikor semmilyen internetet használó alkalmazás nincs elindítva (Böngésző, leelezőprogram, Microsoft ActiveSync, Microsoft Messenger, SkyPE, ICQ, Yahoo Messenger, Emule, DC, FTP kliens, szerver alkalmazás a gépen mind internethasználatot jelenthet). ADSL esetén a rendszer automatikusan kapcsolódni akar az Internetre, pedig nem is akartunk netezni.
    • Telepítsünk egy forgalomfigyelő alkalmazást , pl DU Meter
    • XP esetén indítsuk el a Ctrl+Alt+Delete billentyűkkel a Windows Feladatkezelőt és a harmadik fülön láthatjuk a hálózati forgalmat. Ha a zöld vonal a 0% fölött van, akkor valami forgalmaz.
  • Telepített víruskereső ikonja hirtelen eltűnik a tálcáról! - A vírusok egy része felismeri a legelterjedtebb víruskeresőket és induláskor automatikusan kiiktatják őket
  • A számítógép váratlanul szabályosan leáll
  • A számítógépünkről váratlanul emailek indulnak a nagyvilág felé
  • A telepített C:\Windows, a C:\Windows/System32, C:\Windows\System32\Drivers\ könyvtárban furcsa nevű futtatható fájlok jelennek meg, jellemzőik:
    • Nevük furcsa pl. 12345643434.exe,dgrtoess.tmp, hasonló...
    • Hasonló nevűek, mint az operációs rendszer hivatalos alkalmazásai (system.exe)
    • A létrehozásuk dátuma későbbi, mint bármely más fájl dátuma a rendszeren. Ez azért lehet, mert ha a rendszer frissíti magát, akkor általában több tucat fájl frissül egyszerre. A vírusok azonban csak egy-két fájlt hoznak létre és jellemzően ők az utolsó futtatható fájlok.
    • A kiterjesztésük sokféle lehet. Ezeket a programokat a Windows Intézővel nehéz felderíteni, ezért célszerű használni a Total Commander-t, amivel a láthatatlan fájlokat is meg lehet tekinteni.
      • A fent említett fájlok tartalmát megnézve nem ismert szoftvercégek termékeinek bizonyulnak
      • Tömörített fájlok, azaz a TotalCommanderrel belepillantva a fájl első pár száz karakterébenlátható az UPX jelzés, vagy a végén nem találunk többé-kevésbé olvasható szövegeket