1 Szkodliwe oprogramowanie
2 SPOSÓB ROZPRZESTRZENIANIA Wirus Robak Koń trojański Fałszywka (hoax) Wirus Robak Koń trojański Fałszywka (hoax) RODZAJ SZKODLIWEGO DZIAŁANIA Niszczy lub uszkadza zawartość komputera Spyware Backdoor Keylogger Botnet Rootkit Spam Niszczy lub uszkadza zawartość komputera Spyware Backdoor Keylogger Botnet Rootkit Spam
3
4 Jak wygląda wirus?
5
6 Wirus potrzebuje nosiciela. Przenoszony jest wewnątrz innego zupełnie nieszkodliwego programu lub pliku (na przykład Word). Po uruchomieniu programu, uruchamia się też wirus, od tej pory komputer jest zawirusowany. Wirus ma zdolność samoreplikacji, zaraża inne programy doczepiając się do nich. Wirus potrzebuje nosiciela. Przenoszony jest wewnątrz innego zupełnie nieszkodliwego programu lub pliku (na przykład Word). Po uruchomieniu programu, uruchamia się też wirus, od tej pory komputer jest zawirusowany. Wirus ma zdolność samoreplikacji, zaraża inne programy doczepiając się do nich.
7 Przenosi się przez sieć bez wiedzy i ingerencji użytkownika. Z reguły korzystają z błędów w systemie operacyjnym lub z niewiedzy i niedoświadczenia użytkownika. Przenosi się przez sieć bez wiedzy i ingerencji użytkownika. Z reguły korzystają z błędów w systemie operacyjnym lub z niewiedzy i niedoświadczenia użytkownika.
8 Jest pobierany i uruchamiany świadomie przez użytkownika. Udaje program lub plik pożyteczny. Jest pobierany i uruchamiany świadomie przez użytkownika. Udaje program lub plik pożyteczny.
9 Wiadomość (e-mail) w stylu: Uwaga! Ukazał się nowy wirus, niewykrywalny przez wszystkie programy antywirusowe. Sprawdź czy masz na dysku plik: C:\Windows\Explorer.exe To jest ten wirus. Jeżeli go masz, natychmiast skasuj! Wiadomość (e-mail) w stylu: Uwaga! Ukazał się nowy wirus, niewykrywalny przez wszystkie programy antywirusowe. Sprawdź czy masz na dysku plik: C:\Windows\Explorer.exe To jest ten wirus. Jeżeli go masz, natychmiast skasuj!
10 Drogi odbiorco. Właśnie otrzymałeś wirusa albańskiego. Ponieważ jednak w Albanii nie jesteśmy zbyt zaawansowani technicznie, uprzejmie prosimy, abyś sam wykasował wszystkie pliki ze swojego twardego dysku oraz wysłał tę wiadomość do wszystkich znanych Ci osób. Serdecznie dziękujemy za współpracę. Drogi odbiorco. Właśnie otrzymałeś wirusa albańskiego. Ponieważ jednak w Albanii nie jesteśmy zbyt zaawansowani technicznie, uprzejmie prosimy, abyś sam wykasował wszystkie pliki ze swojego twardego dysku oraz wysłał tę wiadomość do wszystkich znanych Ci osób. Serdecznie dziękujemy za współpracę.
11 Jeśli uruchamiasz program, który wiesz, że normalnie służy do dobrych rzeczy, a on robi coś złego – to jest to WIRUS Jeśli uruchamiasz program, który nie wiesz co ma robić, ale myślisz, że coś dobrego, a on robi coś złego – to jest to KOŃ TROJAŃSKI Jeśli nie uruchomiłeś żadnego programu, a komputer robi coś złego – to jest to ROBAK Jeśli sam coś skasowałeś – to jest to HOAX
12 o 1971 – pierwszy wirus Creeper dla komputerów PDP-10 o 1974 – pierwszy (i jeden z ostatnich) wirusów typu Wabbit (Kłólik) o 1986 – Pakistańska grypa, pierwszy wirus na komputery typu PC (napisany w Pakistanie) o 2000 – robak ILOVEYOU zaczyna wysyłać swoje maile o 2004 – Mydoom – najszybciej rozprzestrzeniający się robak internetowy
13 Wniknięcie do systemu Rozmnażanie się w systemie Uszkadzanie systemu Infekowanie innych systemów Wniknięcie do systemu Rozmnażanie się w systemie Uszkadzanie systemu Infekowanie innych systemów
14
15 Krótki okres inkubacji choroby (1-4 dni od infekcji) Niska śmiertelność gwarantująca rozprzestrzenianie się wirusa Skutek: co roku choruje 5-15% ludzi na całym świecie Krótki okres inkubacji choroby (1-4 dni od infekcji) Niska śmiertelność gwarantująca rozprzestrzenianie się wirusa Skutek: co roku choruje 5-15% ludzi na całym świecie
16 Dłuższy okres inkubacji (4-14 dni od infekcji) Wysoka śmiertelność (do 90% zarażonych) Skutek: wirus występuje właściwie wyłącznie w centralnej Afryce, rocznie zaraża do 300 osób Dłuższy okres inkubacji (4-14 dni od infekcji) Wysoka śmiertelność (do 90% zarażonych) Skutek: wirus występuje właściwie wyłącznie w centralnej Afryce, rocznie zaraża do 300 osób
17 Jak się chronić?
18 Program antywirusowy Firewall (zapora ogniowa) Antyspyware Aktualizacje systemu Aktualizacje programów Nie korzystanie z konta o uprawnieniach administratora Hasła Odrobina zdrowego rozsądku
19 Program uruchomiony zaraz po starcie systemu i nieustannie działający. Monitoruje pliki odczytywane i zapisywane na dysku. Rozpoznawania wirusów dokonuje na podstawie listy znanych przedstawicieli lub na podstawie podejrzanych działań (heurystycznie).
20 DARMOWE DLA PRYWATNEGO UŻYTKU (ALE NIE W SZKOŁACH I URZĘDACH) AVG Awast Avira Comodo PC Tools AVG Awast Avira Comodo PC Tools PŁATNE ESET NOD32 Kaspersky Norton F-Secure G-Data Panda ArcaVir MKS ESET NOD32 Kaspersky Norton F-Secure G-Data Panda ArcaVir MKS
21
22 DARMOWE DLA PRYWATNEGO UŻYTKU (ALE NIE W SZKOŁACH I URZĘDACH) Kerio Zone Alarm Comodo Jetico Kerio Zone Alarm Comodo Jetico PŁATNE Ashampoo W większości programów antywirusowych: Norton, Kaspersky, ArcaVir Ashampoo W większości programów antywirusowych: Norton, Kaspersky, ArcaVir
23 Usuwa programy zainstalowane już w systemie i robiące „krecią robotę” takie jak programy szpiegujące, keyloggery, rootkity Usuwa „dobre” programy które mają dodatkowe „złe” moduły do np. wyświetlania reklam czy szpiegowania Znajduje i usuwa pliki mogące służyć do śledzenia użytkownika (np. „tracking cookie”)
24 Ad-aware Spybot Search & Destroy Windows Defender Hijack
25 Wiele złośliwych programów (zwłaszcza robaki) działa dzięki błędom bezpieczeństwa w programach. Są programy sprawdzające czy mamy zainstalowane wszystkie niezbędne aktualizacje systemu i innych aplikacji: Microsoft Baseline Security Analyser Secunia Personal Software Inspector Wiele złośliwych programów (zwłaszcza robaki) działa dzięki błędom bezpieczeństwa w programach. Są programy sprawdzające czy mamy zainstalowane wszystkie niezbędne aktualizacje systemu i innych aplikacji: Microsoft Baseline Security Analyser Secunia Personal Software Inspector
26 Tylko z konta o uprawnieniach administratora można dokonać realnej szkody w systemie operacyjnym (ale nie w plikach użytkownika). Jeśli złośliwy program nie potrafi wykorzystać jakiejś luki w systemie aby zdobyć takie uprawnienia, to jest bezsilny. Około 70% złośliwych programów wymaga do swojej pracy konta o uprawnieniach administratora. Nie dajmy im tej satysfakcji. Tylko z konta o uprawnieniach administratora można dokonać realnej szkody w systemie operacyjnym (ale nie w plikach użytkownika). Jeśli złośliwy program nie potrafi wykorzystać jakiejś luki w systemie aby zdobyć takie uprawnienia, to jest bezsilny. Około 70% złośliwych programów wymaga do swojej pracy konta o uprawnieniach administratora. Nie dajmy im tej satysfakcji.
27 Bezpieczne hasło to hasło składające się z 8- 10 znaków Zawierające przynajmniej 3 spośród: małe litery, duże litery, cyfry, znaki specjalne Generowane losowo Są programy pomagające w losowaniu i pamiętaniu haseł: KeePass Firefox z wtyczką Password Maker Są strony WWW pomagające w generowaniu haseł Bezpieczne hasło to hasło składające się z 8- 10 znaków Zawierające przynajmniej 3 spośród: małe litery, duże litery, cyfry, znaki specjalne Generowane losowo Są programy pomagające w losowaniu i pamiętaniu haseł: KeePass Firefox z wtyczką Password Maker Są strony WWW pomagające w generowaniu haseł
28 Pomimo iż wirus i trojan wymagają aby ich program został uruchomiony, to są w stanie obyć się bez ingerencji użytkownika albo go oszukać Uruchamianie systemu przez BIOS Autouruchamianie dysków w Windows Uruchamianie programów przez zainstalowane w systemie aplikacje (np. przeglądarki internetowe, czytniki poczty) Podszywanie się trojanów pod niegroźne pliki Pomimo iż wirus i trojan wymagają aby ich program został uruchomiony, to są w stanie obyć się bez ingerencji użytkownika albo go oszukać Uruchamianie systemu przez BIOS Autouruchamianie dysków w Windows Uruchamianie programów przez zainstalowane w systemie aplikacje (np. przeglądarki internetowe, czytniki poczty) Podszywanie się trojanów pod niegroźne pliki
29 Podczas uruchamiania komputera trzymamy klawisz Del albo F2 (zależy od płyty głównej) Komputer szukający systemu najpierw na dyskietce może zarazić się z niej wirusem bez naszej wiedzy Podczas uruchamiania komputera trzymamy klawisz Del albo F2 (zależy od płyty głównej) Komputer szukający systemu najpierw na dyskietce może zarazić się z niej wirusem bez naszej wiedzy
30 Kliknij Start->Uruchom->”regedit”. Znajdź klucz: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersio n\Policies\Explorer. Zmodyfikuj wartość klucza NoDriveTypeAutorun, Wedle poniższego schematu wpisujemy nową wartość: 1 lub 80 - wyłączenie autouruchamiania na dyskach nieznanego rodzaju 4 - wyłączenie autostartu na dyskach wymiennych 8 - wyłączenie autostartu na dyskach stałych 10 - wyłączenie autouruchamiania na dyskach sieciowych 20 - wyłączenie autouruchamiania na płytach CD 40 - wyłączenie autouruchamiania na ram-dyskach FF - wyłączenie autouruchamianie na wszystkich nośnikach
31 Przeznaczenie pliku rozpoznaje się po jego rozszerzeniu, ono determinuje jaki program zostanie użyty do otwarcia pliku Najbardziej podejrzane są pliki wykonywalne: exe, com, bat, cmd, msi Nie tylko pliki wykonywalne mogą być niebezpieczne, złośliwy program może znajdować się nawet w plikach Worda i Excela (makra, można je wyłączyć) Błędy w aplikacjach powodują, że nawet pliki mp3 (błąd w Winampie) czy wmf (bład w Windows) mogą zawierać złośliwy program Przeznaczenie pliku rozpoznaje się po jego rozszerzeniu, ono determinuje jaki program zostanie użyty do otwarcia pliku Najbardziej podejrzane są pliki wykonywalne: exe, com, bat, cmd, msi Nie tylko pliki wykonywalne mogą być niebezpieczne, złośliwy program może znajdować się nawet w plikach Worda i Excela (makra, można je wyłączyć) Błędy w aplikacjach powodują, że nawet pliki mp3 (błąd w Winampie) czy wmf (bład w Windows) mogą zawierać złośliwy program
32 Program może podmienić ikonę swojego pliku udając, że jest nieszkodliwy Aby włączyć pokazywanie rozszerzeń należy w Eksploratorze Windows wybrać opcję Opcje folderów w menu Narzędzia Program może podmienić ikonę swojego pliku udając, że jest nieszkodliwy Aby włączyć pokazywanie rozszerzeń należy w Eksploratorze Windows wybrać opcję Opcje folderów w menu Narzędzia