Bagaimana jika komputer saya terinfeksi?
Sayangnya, hal itu mungkin terjadi kadang-kadang bahwa
antivirus yang diinstal di komputer Anda dengan update terbaru tidak
mampu mendeteksi virus baru, worm atau Trojan. Sedih tapi nyata: ada
software perlindungan antivirus memberikan jaminan 100% keamanan yang
lengkap. Jika komputer Anda tidak terinfeksi, Anda perlu menentukan
fakta infeksi, mengidentifikasi file yang terinfeksi dan mengirimkannya
kepada vendor yang produknya merindukan program berbahaya dan gagal
melindungi komputer Anda.
Namun, pengguna mereka sendiri biasanya tidak mampu mendeteksi bahwa komputer mereka mendapat terinfeksi kecuali dibantu oleh solusi antivirus. Banyak cacing dan Trojan biasanya tidak mengungkapkan kehadiran mereka dengan cara apapun. Dengan cara pengecualian, beberapa Trojan yang langsung menginformasikan pengguna bahwa komputer mereka telah terinfeksi - mereka dapat mengenkripsi file pribadi pengguna sehingga menuntut uang tebusan untuk utilitas dekripsi. Namun, Trojan biasanya menginstal sendiri diam-diam di dalam sistem, sering menggunakan metode khusus menyamarkan dan juga diam-diam melakukan aktivitasnya. Jadi, fakta infeksi dapat dideteksi dengan bukti tidak langsung saja.
Peningkatan lalu lintas web keluar adalah indikasi umum dari
infeksi, ini berlaku baik untuk komputer pribadi dan jaringan
perusahaan. Jika tidak ada pengguna yang bekerja di Internet dalam
periode waktu tertentu (misalnya di malam hari), namun lalu lintas web
terus, ini bisa berarti bahwa seseorang atau orang lain sedang aktif
pada sistem, dan paling mungkin itu adalah aktivitas berbahaya. Dalam
firewall dikonfigurasi di sistem, upaya oleh aplikasi yang tidak
diketahui untuk membentuk koneksi internet mungkin menunjukkan infeksi.
Banyak iklan muncul jendela saat mengunjungi situs web dapat sinyal
bahwa adware di dalam sistem sekarang. Jika komputer membeku atau crash
sering, ini mungkin juga terkait dengan aktivitas malware. malfungsi
tersebut lebih sering dicatat oleh perangkat keras atau perangkat lunak
malfungsi daripada aktivitas virus. Namun, jika gejala serupa terjadi
secara bersamaan pada beberapa komputer atau banyak pada jaringan,
disertai dengan peningkatan dramatis dalam lalu lintas internal, hal
ini sangat mungkin disebabkan oleh cacing jaringan atau backdoor Trojan
yang menyebar di seluruh jaringan.
Infeksi mungkin juga secara tidak langsung dibuktikan oleh komputer non-gejala terkait, seperti tagihan telepon panggilan yang tidak ada dibuat atau pesan SMS yang tak terkirim. fakta tersebut dapat menunjukkan bahwa telepon Trojan aktif di komputer atau ponsel. Jika akses tidak sah telah diperoleh ke rekening bank pribadi Anda atau kartu kredit Anda telah lebah digunakan tanpa otorisasi Anda, ini mungkin menandakan bahwa spyware telah memasuki sistem anda.
Jika alternatif antivirus tidak mendeteksi malware, direkomendasikan bahwa Anda memutuskan komputer Anda dari Internet atau jaringan lokal, menonaktifkan koneksi Wi-Fi dan modem, jika ada, sebelum Anda mulai mencari file yang terinfeksi (s). Jangan gunakan jaringan kecuali sangat dibutuhkan. Jangan gunakan sistem pembayaran web atau layanan perbankan internet dalam kondisi apapun. Hindari mengacu pada data pribadi atau rahasia, jangan menggunakan layanan berbasis web yang memerlukan nama layar dan sandi Anda.
Sebagian besar cacing dan Trojan perlu mengambil kendali ketika sistem mulai. Ada dua cara dasar untuk itu:
Ada cukup banyak kunci autorun di register sistem, kunci yang paling populer termasuk Jalankan, RunService, RunOnce и RunServiceOnce, terletak di folder mendaftar sebagai berikut:
Kemungkinan besar, pencarian di lokasi di atas akan menghasilkan beberapa kunci dengan nama yang tidak mengungkapkan banyak informasi, dan jalur ke file yang dapat dieksekusi. Perhatian khusus harus diberikan pada file yang terletak dalam katalog sistem Windows atau direktori root. Ingat nama file ini, Anda akan membutuhkan mereka dalam analisis lebih lanjut.
Menulis ke kunci berikut ini juga umum:
sistem Windows '(dan sistem 32) katalog dan direktori root adalah tempat yang paling nyaman untuk menetapkan worm dan Trojan. Hal ini disebabkan oleh 2 fakta: isi dari katalog ini tidak ditampilkan di Explorer secara default, dan katalog ini tuan rumah sejumlah besar file sistem yang berbeda, fungsi yang sama sekali tidak dikenal ke pengguna awam. Bahkan pengguna berpengalaman mungkin akan sulit untuk mengetahui apakah sebuah file bernama winkrnl386.exe merupakan bagian dari sistem operasi atau asing untuk itu.
Dianjurkan untuk menggunakan file manager semacam itu dapat berkas dengan penciptaan / tanggal modifikasi, dan menyusun file yang terletak dalam katalog di atas. Ini akan menampilkan semua baru dibuat dan diubah file di bagian atas katalog - file-file ini akan sangat menarik bagi peneliti. Jika salah satu file ini identik dengan yang terjadi di tombol autorun, ini adalah panggilan bangun-up pertama.
Advanced pengguna juga dapat memeriksa port jaringan yang terbuka dengan menggunakan netstat, utilitas standar. Anda dianjurkan untuk membuat firewall dan memindai proses yang terlibat dalam kegiatan jaringan. Hal ini juga dianjurkan untuk memeriksa daftar proses yang aktif dengan menggunakan utilitas yang didedikasikan dengan fungsionalitas canggih daripada utilitas Windows standar - Trojan banyak berhasil menghindari terdeteksi oleh Windows standar utilitas.
Namun, tidak ada nasihat universal dapat diberikan untuk semua kesempatan. cacing Advanced dan Trojans terjadi setiap saat kemudian yang cukup sulit untuk melacak. Dalam hal ini, yang terbaik adalah berkonsultasi dengan layanan dukungan dari vendor keamanan TI yang dikeluarkan klien antivirus, sebuah perusahaan yang menawarkan layanan TI bantuan, atau meminta bantuan di forum web khusus. sumber daya web tersebut termasuk www.virusinfo.info dan anti-malware.ru (bahasa Rusia), dan www.rootkit.com dan www.gmer.net (Inggris). forum serupa yang dirancang untuk membantu pengguna juga dijalankan oleh perusahaan antivirus banyak.
Sumber : http://www.securelist.com/en/threats/detect?chapter=83
Namun, pengguna mereka sendiri biasanya tidak mampu mendeteksi bahwa komputer mereka mendapat terinfeksi kecuali dibantu oleh solusi antivirus. Banyak cacing dan Trojan biasanya tidak mengungkapkan kehadiran mereka dengan cara apapun. Dengan cara pengecualian, beberapa Trojan yang langsung menginformasikan pengguna bahwa komputer mereka telah terinfeksi - mereka dapat mengenkripsi file pribadi pengguna sehingga menuntut uang tebusan untuk utilitas dekripsi. Namun, Trojan biasanya menginstal sendiri diam-diam di dalam sistem, sering menggunakan metode khusus menyamarkan dan juga diam-diam melakukan aktivitasnya. Jadi, fakta infeksi dapat dideteksi dengan bukti tidak langsung saja.
Gejala infeksi
Peningkatan lalu lintas web keluar adalah indikasi umum dari
infeksi, ini berlaku baik untuk komputer pribadi dan jaringan
perusahaan. Jika tidak ada pengguna yang bekerja di Internet dalam
periode waktu tertentu (misalnya di malam hari), namun lalu lintas web
terus, ini bisa berarti bahwa seseorang atau orang lain sedang aktif
pada sistem, dan paling mungkin itu adalah aktivitas berbahaya. Dalam
firewall dikonfigurasi di sistem, upaya oleh aplikasi yang tidak
diketahui untuk membentuk koneksi internet mungkin menunjukkan infeksi.
Banyak iklan muncul jendela saat mengunjungi situs web dapat sinyal
bahwa adware di dalam sistem sekarang. Jika komputer membeku atau crash
sering, ini mungkin juga terkait dengan aktivitas malware. malfungsi
tersebut lebih sering dicatat oleh perangkat keras atau perangkat lunak
malfungsi daripada aktivitas virus. Namun, jika gejala serupa terjadi
secara bersamaan pada beberapa komputer atau banyak pada jaringan,
disertai dengan peningkatan dramatis dalam lalu lintas internal, hal
ini sangat mungkin disebabkan oleh cacing jaringan atau backdoor Trojan
yang menyebar di seluruh jaringan. Infeksi mungkin juga secara tidak langsung dibuktikan oleh komputer non-gejala terkait, seperti tagihan telepon panggilan yang tidak ada dibuat atau pesan SMS yang tak terkirim. fakta tersebut dapat menunjukkan bahwa telepon Trojan aktif di komputer atau ponsel. Jika akses tidak sah telah diperoleh ke rekening bank pribadi Anda atau kartu kredit Anda telah lebah digunakan tanpa otorisasi Anda, ini mungkin menandakan bahwa spyware telah memasuki sistem anda.
Apa yang harus dilakukan
Hal pertama yang harus dilakukan adalah memastikan bahwa database antivirus yang up-to-date dan memindai komputer Anda. Jika ini tidak membantu, solusi antivirus dari vendor lainnya dapat melakukan pekerjaan. Banyak produsen solusi anti-virus menawarkan versi gratis dari produk mereka untuk diadili atau satu kali pemindaian - kami sarankan Anda untuk menjalankan salah satu produk pada mesin Anda. Jika mendeteksi virus atau Trojan, pastikan Anda mengirimkan salinan dari file yang terinfeksi ke produsen solusi antivirus yang gagal untuk mendeteksi itu. Hal ini akan membantu vendor ini lebih cepat mengembangkan perlindungan terhadap ancaman dan melindungi pengguna lain yang berjalan ini antivirus dari terinfeksi.Jika alternatif antivirus tidak mendeteksi malware, direkomendasikan bahwa Anda memutuskan komputer Anda dari Internet atau jaringan lokal, menonaktifkan koneksi Wi-Fi dan modem, jika ada, sebelum Anda mulai mencari file yang terinfeksi (s). Jangan gunakan jaringan kecuali sangat dibutuhkan. Jangan gunakan sistem pembayaran web atau layanan perbankan internet dalam kondisi apapun. Hindari mengacu pada data pribadi atau rahasia, jangan menggunakan layanan berbasis web yang memerlukan nama layar dan sandi Anda.
Bagaimana cara menemukan file yang terinfeksi?
Mendeteksi virus atau Trojan di komputer Anda dalam beberapa kasus mungkin merupakan masalah yang kompleks yang membutuhkan kualifikasi teknis, namun dalam kasus lain yang mungkin menjadi tugas yang cukup jelas - ini semua tergantung pada tingkat kompleksitas malware dan metode yang digunakan untuk menyembunyikan kode berbahaya tertanam ke dalam sistem. Dalam kasus-kasus sulit bila metode khusus (misalnya teknologi rootkit) dipekerjakan untuk menyamarkan dan menyembunyikan kode jahat dalam sistem, non-profesional mungkin tidak dapat melacak file yang terinfeksi. Masalah ini mungkin memerlukan utilitas khusus atau tindakan, seperti menghubungkan hard disk ke komputer lain atau sistem boot dari CD. Namun, jika cacing biasa atau Trojan sederhana adalah sekitar, Anda dapat melacaknya menggunakan metode cukup sederhana.Sebagian besar cacing dan Trojan perlu mengambil kendali ketika sistem mulai. Ada dua cara dasar untuk itu:
- Sebuah link ke file yang terinfeksi ditulis untuk tombol autorun dari registri Windows;
- File yang terinfeksi akan disalin ke folder autorun di Windows.
% Documents and Settings% \% \ nama user% Start Menu \ Programs \ Startup \
Dokumen% dan% Settings \ All Users \ Start Menu \ Programs \ Startup
Dokumen% dan% Settings \ All Users \ Start Menu \ Programs \ Startup
Ada cukup banyak kunci autorun di register sistem, kunci yang paling populer termasuk Jalankan, RunService, RunOnce и RunServiceOnce, terletak di folder mendaftar sebagai berikut:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \]
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \]
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \]
Kemungkinan besar, pencarian di lokasi di atas akan menghasilkan beberapa kunci dengan nama yang tidak mengungkapkan banyak informasi, dan jalur ke file yang dapat dieksekusi. Perhatian khusus harus diberikan pada file yang terletak dalam katalog sistem Windows atau direktori root. Ingat nama file ini, Anda akan membutuhkan mereka dalam analisis lebih lanjut.
Menulis ke kunci berikut ini juga umum:
[HKEY_CLASSES_ROOT shell \ \ exefile \ buka command \ \]
Nilai default dari tombol ini adalah "% 1"% * ".
sistem Windows '(dan sistem 32) katalog dan direktori root adalah tempat yang paling nyaman untuk menetapkan worm dan Trojan. Hal ini disebabkan oleh 2 fakta: isi dari katalog ini tidak ditampilkan di Explorer secara default, dan katalog ini tuan rumah sejumlah besar file sistem yang berbeda, fungsi yang sama sekali tidak dikenal ke pengguna awam. Bahkan pengguna berpengalaman mungkin akan sulit untuk mengetahui apakah sebuah file bernama winkrnl386.exe merupakan bagian dari sistem operasi atau asing untuk itu.
Dianjurkan untuk menggunakan file manager semacam itu dapat berkas dengan penciptaan / tanggal modifikasi, dan menyusun file yang terletak dalam katalog di atas. Ini akan menampilkan semua baru dibuat dan diubah file di bagian atas katalog - file-file ini akan sangat menarik bagi peneliti. Jika salah satu file ini identik dengan yang terjadi di tombol autorun, ini adalah panggilan bangun-up pertama.
Advanced pengguna juga dapat memeriksa port jaringan yang terbuka dengan menggunakan netstat, utilitas standar. Anda dianjurkan untuk membuat firewall dan memindai proses yang terlibat dalam kegiatan jaringan. Hal ini juga dianjurkan untuk memeriksa daftar proses yang aktif dengan menggunakan utilitas yang didedikasikan dengan fungsionalitas canggih daripada utilitas Windows standar - Trojan banyak berhasil menghindari terdeteksi oleh Windows standar utilitas.
Namun, tidak ada nasihat universal dapat diberikan untuk semua kesempatan. cacing Advanced dan Trojans terjadi setiap saat kemudian yang cukup sulit untuk melacak. Dalam hal ini, yang terbaik adalah berkonsultasi dengan layanan dukungan dari vendor keamanan TI yang dikeluarkan klien antivirus, sebuah perusahaan yang menawarkan layanan TI bantuan, atau meminta bantuan di forum web khusus. sumber daya web tersebut termasuk www.virusinfo.info dan anti-malware.ru (bahasa Rusia), dan www.rootkit.com dan www.gmer.net (Inggris). forum serupa yang dirancang untuk membantu pengguna juga dijalankan oleh perusahaan antivirus banyak.
Sumber : http://www.securelist.com/en/threats/detect?chapter=83
Computer
|
0 comments: