Artikel top billede

(Foto: Computerworld)

Sådan kommer du dig efter et hackerangreb

Vi viser, hvordan man kan vide, om ens Windows 7-pc er blevet inficeret.

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Din bankkonto er penge værd på det sorte marked. I løbet af de seneste ti år er fokus flyttet fra at ødelægge ofrenes computeres indhold til at udplyndre dem. I dag bliver bankkonti overtaget i vid udstrækning.

Enhver lille tyveknægt vil have en del af kagen, men det kan være svært at komme med i de forhærdede bander, der kontrollerer verdens største botnets. Det er meget nemmere simpelthen at tage telefonbogen og lade som om. Sommetider kan den frygt, som denne nye form for svindel skaber, udløse panik. Folk kan ende med at gøre fjollede ting, der bringer deres data i fare. Det viser den følgende historie.

En velkendt historie

For få uger siden fik en af vores venner en opringning, der angiveligt kom fra Microsoft. Den opkaldende sagde, at vores vens computer sendte spam ud i verden. Hun blev urolig og gjorde nøjagtig, som opringeren sagde, at hun skulle gøre. Hun åbnede en kommandoprompt, skrev noget og læste op, hvad der kom frem på skærmen. Ville hun åbne en browser og gå til et website, der kunne bekræfte hendes infektion?

Da hun gjorde det, kom der en stor, rød advarsel frem på skærmen. Hun skrev nogle flere kommandoer og gik igen til sitet, der viste, at strømmen af spam var aftaget. Det kan ikke overraske, at den opringende fortalte hende, at Microsoft ville sende en regning på opkaldet, men han kunne tilbyde en rabat, hvis hun betalte med det samme med et kreditkort. Sådan et havde hun ikke.

Den opringende pressede på og bad om hendes mands kontokortoplysninger. Hun afslog og bad om, at regningen blev sendt til hendes mand, så han kunne tage sig af den. Den opringende blev aggressiv. Hun lagde røret på.

Da offerets mand kom hjem, kunne han halvvejs huske noget på tv om en ”Microsoft-telefonfidus” og malware. Han kendte ikke konsekvenserne og kørte med det samme den start-dvd, der var fulgt med den bærbare computer. Så ringede han til os og spurgte, hvorfor computeren nu så ud, som den gjorde, da de havde købt den ved juletid. Hvor var deres feriefotos, e-mails og andre sager? De havde ingen backup, og den triste sandhed var, at det var forsvundet for stedse.

Lad dig ikke gribe af panik

Det er muligt, at den opringende i en ”Microsoft-opringning” kan prøve at installere malware, men det ville være en meget ineffektiv måde at skaffe sig kontokortsoplysninger på. Den opringende har allerede gjort dig imødekommende og kan blot bede om dem. Disse mennesker er fupmagere, men historien viser, at det betaler sig at vide, hvad man skal gøre i en situation, hvor man mener, at man har grund til at tro, at man er blevet hacket eller inficeret.

Det kan blot være en anelse, eller måske er computeren begyndt at opføre sig anderledes. Det første man skal gøre, er at indsamle bevismateriale. Man skal begynde med den sjældent brugte kommando netstat. Den kan fortælle, om computeren er forbundet til verden uden for det lokale netværk, og den hjælper med at finde ud af, hvor disse forbindelser går hen.

Genstart computeren for at sikre dig, at du ikke har suspekte forbindelser åbne. Højreklik på kommandoprompten (den er i gruppen ’Tilbehør’), og kør den som administrator. Før du kører en browser, mailklient eller anden form for netværksrelateret program, skal du skrive netstat.

Resultatet er en kort liste over forbindelser. De fleste, hvis ikke dem alle, bør gå mellem computeren og dem selv. De har enten 127.0.0.1 eller computerens ip-adresse som lokal adresse og computerens navn som den fremmede (fjerne) adresse. Efter ip-adressen kan du se et kolon og det portnummer, der er i brug.

Du bør undersøge eventuelle uventede forbindelser til fremmede ip-adresser. De fleste vil vise sig at være links til legitime tjenester, men det kan godt betale sig at være sikker. Mange legitime onlinevirksomheder bruger obskure domænenavn til forbindelser, der aldrig bliver set af slutbrugerne.

Vi skal omdanne disse fremmede ip-adresser til læselige navne ved hjælp af kommandoen netstat -f. Denne gang bliver skærmen fyldt med en længere liste af oplysninger. I den fremmede spalte kan du se navne på fjernservere, og nogle af dem kender du ikke. Her er også andre ip-adresser, der ikke kan omdannes til dns-navne. Vi kan spore alle disse dns-navne og adresser.

Først skal du åbne en browser og gå til www.ip-adress.com/ip_racer (”adress” skal skrives med ét d). Skriv domænenavnet eller ip-adressen på en ukendt server og tryk [Enter]. Resultatet kan være meget oplysende. Hvis din nystartede computer viser forbindelser til i-adresser, der linker til Google, uden at du har brugt en af dets sites eller tjenes-ter, kan forbindelsen komme fra Google Update, der tjekker for nye udgaver af installerede produkter.

Tilsvarende forbindelser kan ses som andre produkter, der ringer hjem for at tjekke efter opdateringer. Selv det at surfe til www.ip-adress.com åbner nye forbindelser.

Når man bruger dette site, viser meget underlige domæner, såsom ”dy-in-f100.1e100.net”, sig at være uskadelige datadomæner – i dette tilfælde ejet af Google. Tilsyneladende simple web-apps kan være så komplicerede, at de kan trække data og kode ind fra en lang række kilder.

Andre adresser kræver lidt mere gravearbejde, før man kan afgøre deres identiteter. Hvis du ikke kan identificere forbindelsen ud fra de indledende resultater hos www.ip-adress.com, kan du klikke på et af ’Whois’-linkene.

Det giver en side, der indeholder langt mere detaljeret domæneinformation, og den bør kunne hjælpe dig med at koble adresse og virksomheder sammen. Når man skal afgøre, om en forbindelse er ondsindet, hjælper det altid at kunne se de individuelle programmer, der skaber forbindelse til fjernservere. Hvis et af dem er et, du ikke kan huske at have installeret, er det måske malware eller en botnet-klient. Også her kan netstat hjælpe med den indledende undersøgelse.

Skriv netstat -b. Nu kommer der en lidt mere kompleks liste frem. Denne gang ledsager en anden linje med navnet på et program i kantet parentes hver forbindelse. Programmet er den eksekverbare fil, der styrer forbindelsen. Selvom de alle bør være genkendelige, kan selv legitime eksekverbare filer have obskure navne.

Vi kan bekræfte, at programmer er, hvad de siger, at de er, ved hjælp af vores gamle ven Process Explorer. Download det fra Microsoft Sysinternals’ site. Det kræver ingen installation, men husk at højreklikke på den eksekverbare fil og køre den som administrator.

Find det suspekte program i listen over processer, og dobbeltklik på det. Det fører til et undervindue med flere faner. Under ’Image’ skal du klikke på ’Verify’ for at se, om den offentlige eksekverbare fils signatur er korrekt.

Hvis et billede ikke kan vises, kan det være gammel kode, der ikke er blevet opdateret specielt til Windows 7, eller det kan være en uønsket tilføjelse. Det kan Process Explorer afgøre ved hjælp af en grov form for crowdsourcing. Luk undervinduet, højreklik på processen, og vælg ’Search online’ for at se, hvad andre har at sige om den. Hvis den ikke er velkommen, kan tiden være inde til at gøre noget, men ikke før dine data er i sikkerhed.

Adgang uden boot

Der er intet som en god backup i krisetider. Det er dog desværre noget, man først erkender, når det er for sent. Hvis du har seriøs grund til at tro, at du har en malwareinfektion, som er sluppet igennem dine forsvarslinjer, er tiden måske inde til at gøre noget drastisk. Før du geninstallerer systemet fra bunden eller ruller Windows tilbage til et tidspunkt før infektionen, skal du sikre dig, at dine data er i sikkerhed.

Heldigvis kan Linux læse de samme filsystemformater som Windows. Når man booter en live-cd-udgave af Linux, får man adgang til de data, der er gemt på en inficeret Windows-computer. På en anden computer skal man downloade iso-filen til en Linux-distribution og brænde den på en bootbar dvd.

Downloadsiden til den aktuelle Ubuntu-distribution viser endda, hvordan man brænder iso’en på en disk eller til en usb-nøgle. Vi bruger denne distribution som eksempel. Når du har Ubuntu på en bootbar disk eller usb-nøgle, er det lige så nemt at køre den, som det er at genstarte og sikre sig, at bios-bootrækkefølgen sætter dvd’en eller usb-nøglen før harddisken.

Når Ubuntu bliver indlæst, klikker du ’Try Ubuntu’. Nu kommer skrivebordet frem. Du kan få adgang til harddisken ved at klikke ’Places’ i menuen foroven. Hvis du ikke kan identificere din harddisk på listen, skal du vælge ’Computer’ for at få en liste over drev.

I det følgende vindue kan du navigere i filsys-temet, herunder de dele, der normalt bliver låst af et kørende Windows-system. Når du konstaterer, at du kan finde dine data, kan du indsætte en ny usb-nøgle, dobbeltklikke på den på skrivebordet for at åbne den og derefter lægge dine filer på den.

Du kan også lægge data på en dvd ved hjælp af et program ved navn Brasero. Klik på ’Applications | Sound and video | Brasero Disk Burner’. Vælg et dataprojekt på listen, og træk dine filer og mapper ind på Braseros brugerflade. Når du er færdig, indsætter du en tom dvd og klikker på ’Burn’.

Rul infektionen tilbage

Når du har en kopi af dine data, kan du gøre en af to ting. Hvis du mener at have installeret et program, der har lavet rod i dit operativsystem, kan du prøve at rulle Windows tilbage til et tidspunkt før installationen.

Åbn Kontrolpanel, og vælg ’System og sikkerhed | Gendan computeren til et tidligere tidspunkt’. Klik på ’Åbn Systemgendannelse’, så kommer der en wizard. Klik ’Næste’, og vælg et gendannelsespunkt forud for den tvivlsomme installation. Klik ’Næste’ og så ’Udfør’. Klik ’Ja’, så begynder gendannelsen, hvorefter maskinen genstarter. Hvis det ikke hjælper at rulle Windows tilbage, er tiden inde til at køre producentens startdisk for at rense pc’en og føre den tilbage til fabriksindstillingerne.

Nogle mennesker sværger til regelmæssig sletning af computerens harddisk og manuel geninstallation af alt fra operativsystemet og opefter, men er det virkelig en god sikkerhedspraksis?

Sandheden er, at den bedste garanti for, at computeren er fri for nogen form for malware, består i at rydde den til den nøgne hardware ved at formatere harddisken og derefter geninstallere operativsystemet. Så venter man på, at maskinen downloader og installerer de seneste opdateringer. Dernæst installerer man de applikationer, man skal bruge (herunder en god antiviruspakke), og nøjes med at bruge maskinen til faste opgaver.

Efter at have taget backup af de data, man vil beholde, kan man køre producentens installations-dvd for at føre maskinen tilbage til en god fabriksindstilling, men den metode vil også installere en masse uønskede applikationer, som man siden skal have besvær med at afinstallere. Et af de væsentligste irritationsmomenter er, at installations-dvd’en som regel rummer adskillige stykker nagware. Det kan være lige så irriterende at fjerne dem som den infektion, man vil undgå.

En af fordelene ved at geninstallere alting fra operativsystemet og opefter er, at det forbedrer ydelsen at gendanne pc’en til den tilstand, Microsoft (eller Linux-udvikleren) har tilsigtet.

Med lidt omtanke kan man kompilere en dvd med alle distributionsfilerne til de applikationer, man installerer. Så har man dem alle på ét sted, når behovet opstår.

Netstat er en kommando, der bliver brugt af netværksadministratorer og netværkssikkerhedsfolk, men det er ret ukendt for hjemmebrugere. Vi har allerede beskrevet brugen af netstat -b, der viser, hvilke programmer der har forbindelse med den omgivende verden, og netstat f, der omdanner ip-adresser til domænenavne, men hvis man kombinerer disse fag (netstat -bf), kan man se dem begge samtidig.

Hvis man vil se, hvordan forbindelserne ændres i tidens løb, skal man føje et tal til slutningen af kommandolinjen. Det fortæller netstat, hvor mange sekunder det skal vente, før det kører igen. Man kan sågar gemme netstats output i en fil med omdirigeringsoperatoren ”>”. Et eksempel kunne være netstat -fb > fil.txt, hvor ”fil.text” er outputfilen. Hvis man føjer et interval til kommandoen for at gentage den, kan man trykke [Ctrl]+[C] for at stoppe den.

Man kan bruge kommandoen ”more” til at læse filen (more fil.txt), men det er forvirrende at læse længere output i kommandoprompten. Hvis man skriver notepad.exe fil.txt, idet man erstatter ”fil.txt” med det navn, man har brugt til at gemme netstats output, kan man læse det i Notesblok.

Hvis man bruger en grafisk procesmonitor som Process Explorer til at undersøge systemet, kan man føje flaget ”-o” til netstat for at få vist den numeriske identifikator, der knytter sig til den proces, der er knyttet til hver enkelt forbindelse. Hvis man sorterer Process Explorers output med PID-kolonnen, kan man nemt identificere og meget hurtigt grave nedad.

Der er ikke noget som en second opinion, når man vil beroliges. Det er sjældent mere nyttigt, end når man vil finde ud af, om man har fået en malwareinfektion. De fleste bliver overraskede over at høre, at antivirusprodukter ikke altid er 100 procent effektive. Det, et produkt finder uskadeligt, bliver af et andet markeret som potentielt ondsindet.

Når netværkssikkerhedsfolk skal undersøge en vens computer for potentielle infektioner, bruger de gerne en anden antiviruspakke til at scanne maskinen. Sådan en pakke er Malwarebytes Anti-Malware. Den gratis udgave kan man downloade hos www.malwarebytes.org. Installation af Malwarebytes Anti-Malware består i den sædvanlige accept af licensbetingelserne efterfulgt af gentagne klik på ’Next’ i installationswizarden.

Når pakken er installeret, skal man acceptere standardindstillingerne for afvikling af softwaren og opdatering af databasen. Medmindre du vil eksperimentere med prøveversionen af det fulde produkt, skal du afslå tilbuddet. Så kommer hovedfladen frem.

Vælg en komplet scanning, og klik ’Scan’ for at komme i gang. Den komplette scanning kan være over en time om at blive færdig, men den er også meget grundig. Vi er ofte blevet overras-kede over dens evne til at finde suspekte detaljer i registreringsdatabasen og suspekte filer, hvor andre anti-malware-produkter har svigtet.

Mens Malwarebytes Anti-Malware-scanningen kører, tæller den mistænkelige objekter i operativsystemet. Når den er færdig, kommer der en logfil, og man får mulighed for at uddele karantæne eller reparere alle de ting, som Malwarebytes Anti-Malware har fundet. Sørg for, at alle felterne på listen er valgt til, og klik så ’Remove selected’.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge:

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Lokal loopback

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Kopier og indsæt

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Portnumre

[/themepacific_accordion_section]
[themepacific_accordion_section title="Fakta"]

Ressourcer

[/themepacific_accordion_section]
[/themepacific_accordion]