Rubriik: Tõrjujad

Kindlasti on mõni aktiivsem ineternetikasutaja märganud, et tihtipeale ei aita arvuti pahavarasse nakatumise vastu ka see, kui süsteemi kaitseb viirusetõrje. Pole oluline, kas nakkus saadakse läbi P2P programmide, Messengeri teel, surfates ebasoovitavatel veebilehtedel, või ka, tuleb tunnistada, justkui puhastel ja ausatel lehtedel käimisel, ent mis on kräkkerite poolt pahatahtlike skriptidega nakatatud.

Paraku ei saa siin kindlalt väita, et tõrjeprogramm vilets oleks. Pigem on asi ikka selles, et viiruste-, troojate- ja nuhkvarakirjutajad on alati pahalaste vastu võitlejatest sammu võrra ees. Üllatavalt hästi suudetakse pahavara peita tõrjeprogrammide avastamise eest isegi siis, kui programmil on tõrjekood andmebaasides olemas. Sageli kirjutatakse selleks pahalasse koodjupp, mis väldib tuntud tõrjeprogrammidel nende leidmise. Kuid üsna tihti kasutatakse ka ära Windows enda kaitsevõimet, mis ei luba kurivara kustutada. Selleks peaks siis sisenema süsteemi kaitstud režiimi ehk Safe Mode.

Headest ja tasuta viirusetõrjete päästeplaatidest olen kirjutanud selles artiklis. Ent ka üsna tuntud Sunbelt Software pakub väga head ja lihtsat tasuta päästevahendit kurivara eemaldamiseks, ainukeseks puuduseks võib lugeda vaid seda, et operatsioonisüsteem peab olema suuteline käivituma (buutima).

VIPRE Rescue

Vipre Rescue on kaasaskantav ehk portatiivne abivahend, mis on edukaks abivahenditeks ka sellistel puhkudel, kui süsteem on väga raskesti nakatunud – ei suudeta enam arvutisse programme installeerida või käivitada juba paigaldatud rakendusi. Vahet ei tehta, millisesse gruppi see pahalane kuulub – on see nuhkvara, trooja, viirus, klahvinuhk või rootkit – kõik need avastatakse ja hävitatakse halastamatult, sest utiliidis kasutatakse hinnatud VIPRE Antivirus täisandmebaase.

Vipre Rescue on käsurea päästevahend, mille abil saab süsteemi puhastada nii Windows tavapärases- kui kaitstud režiimis (Safe Mode). Utiliit on täisautomaatne, paigaldusfail tuleb vaid avada, kui pärast seda kogu ülejäänud töö tehakse ise – avatakse käsuliin, laetakse andmebaasid, skanneeritakse süsteem läbi  ja leitud pahalased suunatakse karantiini.

Ent tähelepanu! Paraku peab arvestama, et sama utiliidi abil ei saa karantiinist taastada enam ühtegi sinna lisatud pahalast. Seda soovib enamik turvalisusest lugupidavaid kasutajaid, kaasaarvatud mina – süsteem olgu kõigist ohtlikest pahalastest täiesti puhas. Kui aga keegi siiski kasutab sihilikult mõnda pahavaralist programmi, siis peab ta selle taastamiseks eraldi arvutisse laadima Vipre viirusetõrje ja karantiinis oleva faili selle abil päästma. Loetäiendavat infot selle kohta siit.

Tähelepanu peaks pöörama ka sellele, et ei kasutataks utiliidi vanemaid versioone. Vipre päästevahendit uuendatakse regulaarselt ja igast uuest versioonist annab aimu versiooninumber. Kui arvutis on juba olemas vanem versioon, siis tuleks utiliidi kodulehelt alati tirida uuem versioon arvutisse ja paigaldada vanemale automaatselt peale.

Põhjalik skanneerimine

Kui paigaldusfail on arvutisse tiritud, ava see ja vali RUN. Juhul kui rakendus ei taha avaneda ja kuvatakse hoiatus, siis järelikult vajab ta käivitamiseks administraatori õigusi. Tee failil paremklikk, vali kõige ülevalt Run as…, käivita paigaldamine, avanenud aknas märgi punktikesega The following user, kirjuta parool ning seejärel OK. Täpsemalt  koos pildivihjetega saab sellest lugeda siit.

Järgmises aknas kinnita oma soovi failide paigaldamiseks arvutisse Yes abil. Seejärel jälgi, et linnuke oleks kindlasti kastikeses .\deep_scan.bat ja vali Unzip.

Seejärel avaneb automaatselt käsurida , utiliit laeb andmebaasid ja alustab arvutis põhjalikku skanneerimist. Skanneerimise pikkus oleneb arvutis olevatest andmete mahust. Kui neid on palju, siis võtab skanneerimine kaua aega. Kõige olulisem on selle puhul siiski see, et iga fail kontrollitakse piinliku täpsusega üle.

Märkus: kui arvutis kasutatakse ka tulemüüri, siis tuleb selles utiliit läbi lubada. Näiteks Comodo tulemüür kipub päästevahendit liivakastis avama, mida ei tohi lubada. Vali tulemüüri hoiatusest: “Ära käivita seda rakendust enam liivakasti sees.”

Kui kasutajal on viitsimist päästevahendi tööd jälgida, siis avastatud kurivarast antakse talle märku punaste kirjetega. Töö lõpetamisest rohelise kirjaga ja kustutatud pahavarast helesinise kirjega. Nagu eelnavalt öeldud, kõik pahalased eemaldatakse automaatselt ja utiliidi abil ei ole neid võimalik enam karantiinist taastada.

Loomulikult on kõige õigem kindlam viis päästeutiliit tõsta USB abil ühendatavale seadmele ja laadida arvuti üles Safe Mode`s. Ise soovitan sinna siseneda käsu msconfig abil, ent kes tahab, võib katsetada ka klahvi F8 ja valida Safe Mode with Command Prompt.

Ühenda arvutiga USB seade, sisene administraatorina kaitstud režiimi, vali Start – My Computer, leia irdketas (minul on selleks pildil näha väline kõvaketas WD Passport), ava see, leia Vipre päästeutiliit ja toimi nii nagu eelnevalt sai kirjutatud.

Kiire skanneerimine

Utiliidi abil võimalik on teostada ka kiiret pahalaste otsimist. Sel juhul võta päästevahendi avamisel linnuke kastist .\deep_scan.bat. Kui mingil põhjusel ei avane utiliit automaatseks skanneerimiseks, liigu kausta, kuhu failid said avatud (vaikimisi My Computer – Local Disk C – VIPRERESCUE) ja kliki ise VIPRERescueScanner.exe-l. Kui põhjaliku skanneerimismeetodi puhul on käsuliinil näha kirje Scanner configured for deep scan, siis nüüd on kirjas …for quick scan.

ARSwp ehk Windows Anti Rogue Sweep on üsnagi eksootiline programm Hiinamaalt, seda enam, et esmakordselt rakendust avades võib see mõne kasutaja esialgu pahviks lüüa – programmi peaaknas kuvatakse arusaamatuid hieroglüüfe ja võõrapäraseid veebilehti. Ent tegu ei ole siiski koomiksiga vaid täiesti tõsiseltvõetava tasuta rakendusega, mis on loodud hävitama nii võlts-arvutiprogramme kui ka teisi õelaid pahalasi.

Projektiga tehti algust juba 2006.aasta oktoobris, kui grupp internetifirmades töötavaid entusiaste lõid oma meeskonna ja seadsid eesmärgiks arendada välja kõrgekvaliteediline töövahend arvutisüsteemi puhtana hoidmiseks. Nüüdseks väidavad nad oma kodulehel, et on valmis saanud unikaalse ja võimsa tehnoloogia, mida ükski teine analoogne rakendus ei paku. Utiliidi abil saab edukalt ja täielikult puhastada ka selliseid pahatahtlikke koodijuppe, mis suudavad peituda Windows enda süsteemikaitse alla, mis muul juhul raskendab pahalasest lahti saamist.

Programm sobib opisüsteemidele : Windows 2000/XP/2003/Vista/Win7 – 32 bit ja 64bit.

Paigaldusfaili tirimiseks vali ARSwp allalaadimislehelt vastavalt süsteemile kas 32 bit või 64 bit versioon. Arvutisse paigaldamine möödub lihtsalt, vaid lõpufaasis võiks linnukese eest ära võtta kastikesest Set Home Page, et kasutajate harjumuspärast kodulehte ei muudetaks.

Kõigepealt soovitan ülevalt paremast nurgast lahti teha Sätted (Options) ja võtta linnuke kastist Show Web Page, vajutada OK, sulgeda programm ja siis uuesti avada – toetajate reklaamilehti enam programmis ei näidata.

Kõigepealt tuleks nüüd programmi andmebaase uuendada lingi Update abil, seejärel võib kohe alt paremast nurgast valida Scan või siis programmi vasakuslt tööriistaribalt valida Clean, mis annab arvutisüsteemi skanneerimiseks rohkem võimalusi – Default Scan (soovituslik ja kiire), Custom Scan (kasutaja valikuline), Full Scan (väga põhjalik ent aeganõudev) või Restart Computer Scan ( arvuti taaskäivituselt tulles automaatne pahalaste otsimine).

Kui arvuti on üle skanneeritud ja leitud kahtlaseid kirjeid, siis tasub koheselt kustutada vaid need, mida kasutaja kindlalt teab, et need on pahavaralised protsessid, muul juhul aga kindlasti tuleb avada leitud objekti detailid (Detail), teha kirje aktiivseks, valida Copy To Clipboard, avada veebilehitseja, kleepida see info kasvõi otsingumootorisse Google ning uurida, kas ehk programm mitte ei eksinud. Kui ei eksinud, siis tuleb märkida kirje linnukesega ja valida Clean ehk kustuta. Kui aga tekib kahtlus, et leitud rakendus pole ohtlik, saab selle lisada Add to White List abil ohutute failide hulka.

Lahtri Diagnose abil püütakse tuvastada süsteemi  draiverite ja teenuste (Services) ning aktiivsete- ja varjatud protsesside hulgast pahavaralist tegevust. Paremkliki abil saab neid sulgeda või kustutada. NB! Igal juhul jäägu nende protsesside eluea lõpetamine vaid asjatundjate tegevuseks!

Lahter Leaks annab teada võimalikest haavatavustest, kui miski  suhteliselt oluline Windows turvapaik on jäänud paigaldamata. Turvapaigal paremklikki tehes saab teavet, milleks ta vajalik on. Install selected Updates abil saab kõik need uuendused edukalt arvutisse installeerida, kõrvallahtrile vajutades heidetakse need kõrvale (Ignored).

Programmiakna kõige alumises vasakus nurgas on veel sakk Advanced. Avades selle, jõuab veel mitme kasuliku tööriistani. Näiteks Clean abil saab puhastada süsteemi interneti- ja registriprahist, link Tools avab põhiliselt Windows abivahendite otseteed. NB! Ikoonile FixSys vajutage vaid siis, kui süsteemiga on tõesti midagi väga korrast ära, muidu on mõttekam seda nuppu mitte puutuda.

Botnettide ohtlikkusest olen kirjutanud juba mitmes artiklis: Küberkuritegevuse tippklass – botnet Zeus,  Kneber – kuritegelik botnet-võrgustik ja Nuhtlus nimega Conficker. Paraku aga kõigis nendes artiklites olen maininud, et botnete on väga raske avastada nii kasutajal endal kui ka viirusetõrjetel. Olgugi, et viirusteanalüüsijad teevad nende avastamiseks tublit tööd, kulub neil siiski sageli mitu kuud, kuni nad suudavad salajase ja hästi peidetud võrgustiku avastada, et selle vastu signatuur tõrjeprogrammide andmebaasidesse lisada.

Arvuteid, mis on üle maailma kasutaja teadmata liidetud botnet-võrgustikku, arvatakse olevat kümneid miljoneid. Ka Eestis on korduvalt avastatud erinevaid botnet-troojate versioone, kinnitab CERT Eesti infoturbe ekspert Anto Veldre, ent õnneks on nakatumisprotsent küllaltki väikseks jäänud. Ent kuna mitte kunagi ei liideta kasutajate arvuteid botneti liikmeks suure kisa ja käraga, vaid täiesti vaikselt ja märkamatult väiksematki kahtlust äratamata, siis lisaks tavalistele tõrjevahenditele võiks alati käepärast olla ka spetsiaalsed tööriistad, mis püüavad ennetavalt hoida süsteeme nakatumiste eest. Loe edasi: Botnet-võrgustike avastajad

Nuhkvaratõrjest SUPERAntiSpyware on Arvutikaitse kirjutatud juba mitmel korral, lugeda saab Lauri Säde artikleid siit ja siit. Siiski tahaksin sellel programmil veelkord peatuda, kuna leian, et tõrjeprogrammi loomemeeskond on välja arendanud väga kavala portatiivse ehk kaasaskantava rakenduse, mille eest pahavaral on väga raske peitu jääda. Teatavasti kirjutatakse üsna sageli õelvarasse sisse koodid, mis aitavad vältida teada-tuntud tõrjeprogrammidel nende leidmise, ent selle programmi  puhul ei pruugi see neid aidata.

Nick Skrepetos, SUPERAntiSpyware.com asutaja ütleb detsembris 2009 avaldatud pressiteates (vaba tõlge):

„Me avastame üha keerukama ülesehitusega ja erinevates variatsioonides muteerunud  pahavara, mis suudavad takistada tõrjeprogrammide installeerimist arvutisse või peatavad paigaldatud tõrjete töö. Meil on sellele nüüd lahendus. Kaasaskantava skänneriga võib puhastada ka väga nakatunud süsteeme ning selle skänneri tõhusus seisneb selles, et seda ei pea arvutisse installeerima. Seega ei muuda see ka süsteemifaile ega paigaldu Start-menüüsse ja Programmifailide kataloogi ning ei vaja ka internetiühendust. Selle võib paigaldada USB –seadmetele, välistele kõvaketastele, kõrvetada CD/DVD ketastele jne.“

Tasuta SUPERAntiSpyware Portable Scanner pakub tõepoolest sellist nutikat lahendust. Nagu allolevalt pildilt näha võib, tirisin korraga neli kaasaskantavat SUPERAntiSpyware versiooni, mis tegelikult kõik on erineva nimega. Seega peab pahavara looja kurja vaeva nägema, et ta suudaks pahalast kõiki nende  programmivariantide eest peita.

Skannerisse on rakendatud sama nuhkvaravastane mootor, mida kasutab ka SUPERAntiSpyware tasuline versioon. Andmebaase uuendatakse vähemalt kord päevas, seega ei ole oluline, kui puudub internetiühendus. Kui programmi aga kasutatakse näiteks arvuti teisel kettal, millel ei asu opisüsteem, siis loomulikult võib enne skanneerimist programmi käsitsi uuendada.

Mulle meeldib see kaasaskantav programm veel sellepärast, et ta ei muuda mu arvutit aeglaseks. Paraku programmi tavaline versioon, mille ma kunagi arvutisse installeerisin, hästi ei sobimud mu arvutisüsteemiga ning põhjustas töötamise aeglustumist, misjärel ma eemaldasin selle oma tõrjete hulgast.

Käivitamiseks kliki SAS…COM failil, vali Run, reklaamaknas vajuta Click here to start ja vali kasutajaliidese keel. Kui soovitakse programmi uuendada, siis vajutage Otsi Uuendusi, kui aga tahetakse teostada kohene kontroll, siis valige Kontrolli oma arvutit… Järgmises aknas võib veel omakorda valida kiire-, täieliku-  või kohandatud kontrollimise meetodi ja siis tuleb vajutada Next.

Kes soovib, võib enne arvuti skanneerimist oma tahte järgi suvandid täiendavalt paika seada.