Olvasói kérdésekre válaszolok – vírusok, kártevők

Kedves Olvasóm, Jocó, e-mailben, egy komplett oktatóanyagot felölelő kérdéssorral lepett meg, vírusok, vírusirtók, biztonság és egyebek témában. Azt kértem Jocótól, hogy hadd válaszoljak blogbejegyzések formájában, hogy mindenki tanulhasson a kérdés-válasz váltásból, mert annyira jó rálátást adnak a kérdések a felhasználók fejében keringő gondolatokról, hogy ezt vétek lett volna privátban elintézni. Több, mint 10, alaposan kifejtős kérdésre fogok válaszolni, több blogbejegyzésen keresztül, jegyzetfüzeteket elő, itt az ideje, a nyaralásból visszatérve leporolni a gépet és hosszú időre befészkelődni elé :). (Főleg, ha elromlik az idő…)

Kérdés:

– Mikor aktivizálódhat egy adatfájlba rejtett vírus? Pl. Ha a számítógépem valami. alkalmazást keres, “kotorászás” közben belenyúlhat egy vírusos programba(külön megnyitnom sem kell) hiába mentem azt külön mappába, külön particióra..

Válasz:

“Kotorászás” és keresés közben nem lehet aktiválni a kártevőket, egyrészt azért, mert a keresés nem futtatást jelent, másrészt ezek már ritkán vírusok, sokkal inkább titkos alkalmazások. A vírusoknak az volt a “feladatuk”, hogy sokszorozzák önmagukat, és minél több helyen bukkanjanak elő, de a mai kártevők nem ilyenek: inkább komplett kis szoftvereknek nevezném őket, és nem az önsokszorozás, terjedés a legfőbb céljuk, hanem egyéb más feladataik vannak. A havi víruslistákból ilyenekről elég sok információt ki lehet nyerni>>

Tehát csak úgy általános keresés közben nem fog véletlenül elindulni egyetlen fertőzött fájl sem ha addig még nem indult el! Ugyanis vannak olyan kártevők, amik tényleg automatikusan lefutnak, mert kihasználják a Windows olyan tulajdonságait, amik pont az automatizmusra épülnek – arról szólnak – pl. az külső adathordozók gépre csatlakozásakor, ha meg van fertőzve az adathordozó az autorun.inf féreggel (ez a magyar nyelv… a féreg ugyebár a mocskos gazember szinonimája is lehet :)) és ha a Windowsban alapértelmezetten van hagyva az automatikus lejátszás, akkor le fog futni.

Összesen három verzióban lehet kártevőt futtatni:

– Felhasználó elindítja – rákattint a fertőzött fájlra, vagy entert nyom rajta, vagy azon az alkalmazáson, amibe a kártevő bele van rejtve (ez ugye kívülről nem látszik)

– A Windows valamelyik alkalmazása automatikusan elkezdi használni a vírust (ez hála istennek ritka, de az autorun.inf példája is mutatja, hogy telitalálat ez a módszer)

– Valamilyen más, külső alkalmazás indítja el.

Például, letöltesz egy valamilyen csúnya kóddal megfertőzött .pdf fájlt, de nem tudsz róla, hogy meg van fertőzve. Tulajdonképpen, önmagában nem is okoz semmiféle problémát. De ha jön egy másik alkalmazás, ami kimondottan ezt a .pdf-et “küldte” már előzőleg a gépedre, akkor ez az alkalmazás a .pdf-et futtatva már a két verzióból összehozhat egy elég brutális fertőzéskombinációt.

Ennek az esélye viszont iszonyatosan kicsi, mert ha letöltesz egy .pdf-et, akkor a gépedben lévő felhasználói fiókok, partíciók összetetten meghatározzák a .pdf elérési útvonalát, még akkor is, ha a Dokumentumok mappába mented (ahova ugyebár semmit nem szabad, pont emiatt sem) ahhoz meg elég okosnak kell lennie annak a sumák alkalmazásnak, hogy pont az a fájlt meg tudja találni a gépeden, ha mondjuk áttetted máshová. Nem lehetetlen, sőt, elképzelhető, hogy vannak/lesznek olyan gonosztevői csoportok, akik ráállnak erre a szisztémára, de például az autorun.inf-hez képest ez borzalmasan macerás és drága megoldás lenne, így inkább ez utóbbi terjed, mert hatékonyabb, olcsóbb, tisztább-szárazabb érzés ;) (a rosszfiúknak).

Kérdés:

– Ha én, mint felhasználó tudok közlekedni a partíciók között(adatokat másolhatok egyikről a másikra, bármikor megnyithatom őket stb.), mi akadályozza meg a vírust hogy átkerüljön egyik partícióról a másikra??

Válasz:

Az akadályozza meg a vírust, hogy egyrészt ez nem egy emberhez fogható mesterséges intelligencia, tehát maximum annyi “akarattal” tud rendelkezni, ami bele van programozva. Nyilván kaphat olyan utasítást, hogy mondjuk rejtse bele magát a számítógépen található összes .xls dokumentumba, és benne lehet még az is, hogy ne hagyja ki a szórásból a D meghajtót sem. De ezek szinte ordító kódokat igényelnek, ezt minden vírusirtó kiszűri.

Tehát amikor egy vírus már működik, akkor lehetséges, hogy semmi nem akadályozza meg, hogy átterjedjen egyik partícióról a másikra.

DE!

Ha egy inaktív kártevőről beszélünk, amit mondjuk a D meghajtóra mentettél le, az még véletlenül sem tud átkerülni máshová, még másik mappába se – ezért sem tud kikerülni a karanténból semmi! – ugyanis a fájlokkal való műveletekhez – másolás, áthelyezés – egyértelműen felhasználói beavatkozás kell.

Leginkább azzal kell vigyázni, hogy mi magunk ne futtassuk a kártevőket, ugyanis 95%-ban a felhasználó indítja el a lavinát. Toolbarokba, ingyenes mp3-akat letöltő szoftverekbe, weben kereső – böngészőbe beépülő – eszközökbe szoktak ilyen kártevőket rejteni, és a felhasználó alig várja, hogy a csillivilli kis programocskákat – amik majd jól megkönnyítik az életét – elindíthassa, és így indulnak el a kártevők is.

Ez olyan, mint amikor a gyerekeket cukorkába rejtett LSD-vel bombázták Amerikában. Melyik gyerek ne szeretne cukorkát, amikor már mindenkinek van?

Melyik felhasználó ne szeretné egyszerűbbé, könnyebbé tenni a felhasználást?

Holott ezek a kütyük csak bonyolítják, nehezítik a dolgunkat.

Meddig akarsz még szenvedni a lassú géped miatt? Van megoldás, ráadásul könnyű és gyors! Kattints ide, és nézd meg, hogyan tudod begyorsítani a gépedet saját kezűleg!>>

Folytatjuk!

Vidi Rita

Vírus Kommandó Blog

Kapcsolódó bejegyzések:

9 hozzászólás so far:

  1. Szia Rita!
    Nekem is egy kis segítségre lenne szükségem.
    Voltam egy lagziban, ahol készült dvd felvétel és szeretném megnézni. Egy új laptopom van amin ugye volt alapból egy windows media player, de még töltöttem le egy bs playert is, de egyik sem játsza le a dvd-ket. Mit töltsek még le vagy mi lehet a gond…
    A media player valami olyasmit ír, hogy azért nem tudja lejátszani, mert állítanom kell a kép felbontásán.
    Előre is köszi
    Éva

  2. Kedves Rita, hogyan kell átállítani a Windowst, hogy ne legyen alapértelmezetten az automatikus lejátszás.

    Az Úr legyen veled.

    K. Laci

  3. Kovács Lászlónak:
    Autorun kikapcsolása:
    Futtatásba írd be: regedit. Keresd meg ezt a kulcsot: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer. Jobb oldalt van egy NoDriveTypeAutoRun bejegyzés. Dupplakatt rá, Hexaértéke legyen 95, okézd le, és indítsd újra a gépet.

  4. dvd lejátszáshoz a vlc media player jó, mivel ez szinte minden dvd lemezt lejátszik, még azokat is amik számítógépen elvileg nem lennének lejátszhatóak mert mindenféle védelem van rajtuk

  5. Kedves Vidi Rita!

    Letöltöttem a Mozillát,ám nem engedett netezni,kiírta,ha megbizik a webhelyben…Jelenleg csökkentett módban van a Mozillám.Hogy állíthatom vissza,hogy használhassam? Köszönettel:Imre

  6. Kedves Rita!Régen volt már,hogy erre jártam,és tanulgattam tőled,nem is keveset!Neked köszönhetően,eddig csak egyszer kellett a gépem újra telepíteni,akkor is én szúrtam el valamit!Most is van egy problémám,amire sehol sem találok megoldást,pedig elhiheted napok óta böngészem a netet és már a gépemen is végogzongoráztam minden lehetőséget!Van az géő monitora,és rajta az asztal,amin egy képnek kéne látszani.Nem látszik.Felrakom a képet és kb.egy-őt perc múlva eltünik,és nézhetem a szemvakító kékséget,meg az ikonokat!Most már tényleg tehetelen vagyok!Víruska nem lehet mert van a gépen vírusírtó és van egy Cleaner program is.Na egy szónak is 100 a vége!Ha tudnál segíteni azt nagyon megköszönném!Előre is köszönöm Magdi:)

  7. Sziasztok!

    Simon Attila javaslatát megfogadtam, és még akkor átállítottam a registry-ben (az elegánsabb megoldás Windows Home alatt nem működik).

    Hadd egészítsem ezt ki a ma tanultakkal:
    a NoDriveTypeAutoRun bejegyzés hexaértéke legyen ff (=decimális: 255).

    Háttérsztori: a lányom kapott pendrive-on egy osztálytársától valamit. Első dolgunk volt ellenőrizni a pendrive-t ESS-sel. Amikor a pendrive-on lévő kártevőket nem sikerült kiirtani, azonnal írtam az ESS-nek. Ők pár órán belül válaszoltak(!), és ma távirányítással (TeamViewer) rendbetették a gépemet. Persze végig figyeltem, és el is magyaráztattam magamnak mindent. Mindezt az ingyenes(!) support keretében! Hála Ritának, értettem is a magyarázatot ;-) A legfőbb tanulság, hogy ha valóban odafigyelsz, akkor még olyan durva kártevő sem tud kárt tenni a gépedben, mint ez a kiirthatatlan dög! Végül csak egy exe fájlt kellett törölni a pendrive-ról, és kitakarítani a nyomait — ezt kaptam ajándékba a Sicontact-tól :-)

    Ezúton is köszönöm, maradok hűséges hívetek!

  8. […] Kedves Olvasóm, Jocó, e-mailben, egy komplett oktatóanyagot felölelő kérdéssorral lepett meg, vírusok, vírusirtók, biztonság és egyebek témában. Azt kértem Jocótól, hogy hadd válaszoljak blogbejegyzések formájában, hogy mindenki tanulhasson a kérdés-válasz váltásból, mert annyira jó rálátást adnak a kérdések a felhasználók fejében keringő gondolatokról, hogy ezt vétek lett volna privátban elintézni. Több, mint 10, alaposan kifejtős […] Vírus Kommandó Blog […]

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.