Napjainkban a legelterjedtebb internetes károkozók nem a hagyományos vírusok, hanem a férgek, kémprogramok, trójai szoftverek, keyloggerek, adware-ek és hasonlók, amelyek a felhasználó gondatlanságát vagy a Windows és a windowsos szoftverek (böngésző, chatprogram, médialejátszó) sebezhetőségét kihasználva csusszannak be az ember számítógépére. A legtöbben egyszerűen le is kémprogramozzák/spyware-ezik őket, ami a köznyelvben vírustól eltérő kártevők elterjedt gyűjtőneve. Ennél pontosabb megfogalmazás a vírustól eltérő kártevőkre (is) vonatkozó malware elnevezés.
Míg a hagyományos vírusok folyamatosan replikálják magukat, és mellette valamilyen káros tevékenységet fejtenek ki, addig a spyware jellemzően arra törekszik, hogy az adatainkat, jelszavainkat szerezze meg, a trójaiak többsége levélszemetet küld, az adware-ek pedig minduntalan hirdetéseket jelenítenek meg a gépen. "Általában nem a károkozás a cél, hanem a gép erőforrásainak minél tovább tartó ki- és felhasználása" - fogalmaz Kádár Attila, a 2F Kft. vírusszakértője. Éppen amiatt, hogy a malware mindezt nyugodtam megtehesse, rendszerint rejtőzködő üzemmódban van jelen a gépünkön, tehát felismerni és kigyomlálni sem valami egyszerű.
Első lépés: a felismerés
Honnan tudjuk tehát, hogy a gépünk "bekapott" valamilyen fertőzést? "Jó kérdés... Manapság leginkább az intuíció révén" - ejt minket kétségbe vírusszakértőnk, a kártevők egyre fejlettebb rejtőzködési készségére utalva. Szerencsére vannak azonban konkrét jelzések is, amelyekre odafigyelhetünk.
- Alapvető jel a gép lelassulása, a szoftverek kiszámíthatatlan viselkedése, amit a háttérben futó kéretlen szoftverek okoznak azzal, hogy lekötik az operációs rendszer erőforrásait. Ez azonban, mint tudjuk, a Windows esetében nem feltétlenül a fertőzés jele: lehet, hogy csak "elfáradt" az operációs rendszer, esetleg azért, mert nem optimálisak a rendszerbeállítások.
- Ha rálátunk az ADSL-modemre, akkor árulkodó lehet, ha a forgalmazást jelző lámpácskák indokolatlanul sokat villódznak - mondja Kádár. Elvileg, ha nem csinálunk semmit, akkor annak sem kéne villognia. Ha igen, és hosszú ideig, sűrűn villog, akkor valami a háttérben forgalmaz. Ez persze nem feltétlenül kártevő, lehet, például a Windows Update a háttérben, vagy egyéb programok automatikus frissítései, kommunikációi. Természetesen egy fájlcserélő szoftver használata is folyamatos kommunikációval jár, ezért, ha itt akarjuk elcsípni a kártevőt, minden ilyesmit célszerű leállítani.
- A fertőzés legbiztosabb jele az, ha megváltozik a webböngészőnk kezdőlapja, vagy böngészés közben folyton kamu biztonsági figyelmeztetések, reklámok ugranak elő - adja a tuti tippet Fehér Tamás, szintén a 2F szakértője. A hasonló rendellenességek akár használhatatlanná is tehetik a böngészőt a reklámoldalak folyamatos megnyitásával, az azokra való átirányítással.
- Ha online fizetésre is alkalmas hitelkártyát, bankkártyát használunk, akkor árulkodó jel lehet, ha ismeretlen okból kezd csökkenni a rajta tárolt pénz mennyisége, mivel a kémprogramok, vagy az adathalászatra irányuló támadások célpontja a bankkártyaadatok, netbanki információk megszerzése. Ennek egyik módja az, hogy a PC-re fészkeli be magát egy kémprogram, ám ha ilyesmiről értesülünk, természetesen először a kártya letiltása felől célszerű intézkedni.
Második lépés: a kármentesítés
Ha minden elővigyázatosság ellenére vagy éppen annak híján a számítógép mégis megfertőződött, akkor leginkább minél gyorsabban meg kell szabadulnunk a kártevőtől. Ehhez először is meg kell találnunk.
- Ha a gépünkön van valamilyen kémprogram-mentesítő alkalmazás, vagy kereső, akkor azt frissítsük a legújabb verzióra (ha még nem tettük volna), majd bontsuk a netkapcsolatot (praktikusan akár ki is húzhatjuk a gépből a drótot, vagy kapcsoljuk ki a routert), és szkenneljük vele végig a legalaposabb üzemmódban a PC-t! Ha ráakadtunk a kártevőre, és eltávolítottuk a szoftverrel, indítsuk újra a gépet, és biztos, ami biztos, ismételjük meg a keresést.
- Ha nincsen spyware elleni szoftverünk, még ilyenkor sem mindig késő telepíteni egyet, és azzal elvégezni a fentebb leírt keresést. (A keresés előtti vírusadatbázis-frissítésre ekkor is szükség lehet.) Ehhez az alábbi szoftvereket tudjuk ajánlani a Szoftverbázis választékából: a-squared free, SpyWare Terminator, a "klasszikus" Ad-Aware, amely alapfelszerelésnek kell számítson minden, netezésre használt számítógépen.
- Ha online üzemmódban maradva szeretnénk elvégezni egy gyorstesztet és kármentesítést, ahhoz használhatjuk az F-Secure webes alkalmazását. Ez azonban csak Internet Explorer böngészőből használható, bekapcsolt Active X-vezérlővel.
- Ha biztosra akarunk menni a számítógép megtisztításában, és/vagy a fenti módszerek nem segítenek, akkor "steril" eszközökkel kell hozzányúlnunk. Erre az a legjobb megoldás, ha egy bootolásra alkalmas CD-lemezről indítjuk újra a gépet, és onnan végezzük el a víruskeresést. A fizetős antivírus-szoftverek legtöbbjéhez jár ilyen lemez, de ha nincs ilyenünk, akkor magunk is összeállíthatunk egyet, akár az Ultimate Boot CD for Windows alkalmazással (http://ubcd4win.com). Az UBCD4Win-hez felkínált mentesítő szoftverek képességei viszont limitáltak, figyelmeztet Kádár Attila, és a "tiszta" lemezről való rendszerleírásnak megvan az a hátránya is, hogy a Windows Registryhez így nem férünk hozzá - említi meg másik vírusszakértőnk. Fehér Tamás szerint ezért elsősorban a helyben futtatott programokkal való mentesítéssel célszerű próbálkozni, és csak akkor nyúlni külön CD-hez, ha ez sem segít, illetve ha már akár be sem töltődik a Windows a kártevő miatt.
- A spyware leszerelésére lehetőség van úgy is, hogy a Windowst egy korábbi, a fertőzést megelőző állapotra állítjuk vissza a beépített rendszervisszaállító funkcióval. Ezt azonban csak akkor használhatjuk, ha biztosan tudjuk, hogy mikor kapta be a gép a kártevőt. Ha nem, akkor inkább kapcsoljuk is ki ezt a funkciót, mivel előfordulhat, hogy a sikeres kármentesítés után később egy fertőzött állapotba hozzuk vissza a gépet.
- Előfordulhat persze, hogy minden ilyen lehetőséget végigpróbáltunk, de a kártevő még mindig jelen van. Ilyenkor, ha hajlandóak vagyunk/tudunk áldozni rá, fordulhatunk szakemberhez is. Házi szakértőink szerint legalább egy levelet megereszthetünk az aktuális problémával kapcsolatban a biztonsági szoftvereket gyártó cégeknek, hátha a távolból is tudnak segíteni. A bonyolultabb fertőzéseket egy kezdő felhasználó valószínűleg nem tudja maga eltávolítani, mivel ehhez a Windows csökkentett módban történő újraindítására, és némi kézi gyomlálásra is szükség lehet. Ilyenkor választhatunk a hozzáértő szakember, ismerős felkeresése, vagy a rendszer saját kezűleg is elvégezhető újratelepítése között. (Valószínű, hogy ha szakembert keresünk fel, ő sem tud mást javasolni.)
A végső megoldás: a teljes újratelepítés
A PC-s fertőzések elleni tökéletes védelmet az biztosítja, ha leformázzuk a meghajtót, és teljes egészében újratelepítjük a rendszert. Michael Horowitz, a CNet biztonsági szakértője egyenesen azt javasolja, hogy ha például otthoni internetbankolásra és rendszeres ügyintézésre használjuk a gépet, akkor ez az egyetlen üdvözítő út bármilyen kártevő befészkelődése esetén.
- A rendszer újratelepítését akkor tudjuk a legkönnyebben megvalósítani, ha arról is van biztonsági másolatunk. Ilyet egy olyan alkalmazással készíthetünk, mint például a Norton Ghost: ezzel minden szükséges alkalmazás telepítése és az optimális rendszerbeállítások után kell lementeni egy lemezképet az operációs rendszerről, amit bármikor ugyanolyan állapotába hozhatunk vele vissza. (Ezek után persze lehet, hogy az alkalmazásainkat frissíteni kell a legújabb verzióra.)
- Ennek hiányában az, hogy a megszokott alkalmazásainkat újra kell telepíteni, talán még a kisebbik baj. A nagyobbik az, hogy a dokumentumaink odavesznek: gondoljunk csak bele, a munkánk során használt fájlok, az iskolába beadandó dolgozatok vagy a családi fotók pótolhatatlanok. Legalább az ilyen, egyedi, máshonnan nem beszerezhető állományokról rendszeresen készítsünk biztonsági mentést! Ezt tárolhatjuk külső meghajtón, vagy CD-n/DVD-n. A teljes lemezmeghajtó optikai adathordozókra való rendszeres kiírására persze nincs lehetőség, de a zene-, film- vagy játékgyűjteményünket, ami valószínűleg a hely legnagyobb részét elfoglalja, még van esélyünk újra összeszedni.
- Az adatmentés- és visszaállítás kényszerűségét megúszhatjuk úgy is, ha ugyanazon a winchesteren, de külön partíción tároljuk az operációs rendszer és a fentebb említett dokumentumokat. Ilyenkor, ha csak a rendszert telepítjük újra, a fájljaink érintetlenül megmaradnak a Windowst támadó kártevők fertőzése esetén. Nem győzzük azonban hangsúlyozni: a legbiztosabb módszer a rendszeres adatmentés, hiszen az értékes állományok akár a merevlemez sérülése miatt is odaveszhetnek. A külön partíció használata pedig a hétköznapi munka során is okozhat némi kényelmetlenséget.
- A rutinosabb felhasználók élhetnek azzal a trükkel is, hogy nem újratelepítik a fertőzött rendszerpartíciót, hanem egy segédprogram segítségével telepítenek mellé egy másikat, és arról indítják újra a rendszert. A fertőzött Windowst ilyenkor akár a "tiszta" rendszerből kiindulva is rendbe lehet hozni, vagy egyszerűen átemelni belőle a szükséges fájlokat, majd megszabadulni tőle (vagyis leformattálni).
- A kevésbé rutinos felhasználók számára külön partíció vagy biztonsági másolat híján azonban a legegyszerűbb és legbiztosabb megoldás az, ha az állományaikat egy optikai meghajtóról futtatható operációs rendszerrel, egy Live CD-ről bootolva mentegetik el valamilyen adathordozóra (például pendrive-ra), majd úgy telepítik újra a rendszert. Az ilyen adatmentéshez kéznél lehet tartani akár egy Ubuntu Linux CD-t is, mivel az ingyen van, elfér egyetlen korongon, és újabb verziói felismerik a legfontosabb hardvereszközöket. Igaz, ezzel a módszerrel a vírusmentesítést még nem oldottuk meg, de a legfontosabb adatok biztonságba helyezése elvégezhető.
Nulladik lépés: megelőzés és éberség