Kártékony programok eltávolítása – haladóknak

A Microsoft féléves gyakorisággal kiad egy ún. Security Intelligence Reportot (SIR), ami:

“An in-depth perspective on software vulnerabilities and exploits, malicious code threats, and potentially unwanted software”

Az aktuális (már pár hónapja elérhető) a 11. kiadás, ami a 2011. első félévében gyűjtött mérési adatokat foglalja össze csekélynek aligha mondható 168 oldalban (akinek ez túl sok, az persze választhatja a cakkumpakk 19 oldalas “key findings” változatot is). Érdekesek az eredmények és a következtetések is, de az is hasznos információ, hogy milyen és mennyi adat szolgál ezek hátteréül. Lényeg a lényeg, érdemes legalább átfutni annak is, akinek nem a biztonság a fő szakterülete.

Örömmel láttam, hogy ebben a kötetben már külön fejezetet kapott a social engineering, sőt Mark Russinovich is írt egy 16 oldalas fejezetet Advanced Malware Cleaning Techniques for the IT Professional címen. Ő az alábbi 7 lépést javasolja a kártékony programok eltávolítására:

  1. Disconnect from the network
  2. Identify malicious processes and drivers
  3. Suspend and terminate suspicious processes
  4. Identify and delete malware autostarts
  5. Delete malware files
  6. Reboot
  7. Repeat Step 2

Ezek nem egyszerű lépések, sőt évről évre bonyolultabbak, ahogy komplexebbé válnak a támadások, összetettebb a felderítésük és a védekezés is. Szerencsére a Sysinternals eszközök rengeteg segítséget adnak, de csak akkor, ha tudjuk is őket használni. Például egy programot könnyű teljesen megölni, ott a Task Managerben az End Process gomb. Ámde a kártékony programok közül számos túléli az ilyen gyilkolászást és vidáman feltámad. Ütheted, vághatod, mindig visszanő. A megoldás, hogy hagyjuk őt élni, csak éppen elvesszük tőle az összes processzor időt, hogy valójában futni már ne tudjon. Azt meg hogy? Természetesen Process Explorerrel…

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s