(Foto: Computerworld)

Sådan afslører du ubudne gæster i pc'en

Vær forberedt på kendte malwareangreb, og finindstil dit system med WinPatrol.

23. marts 2011 kl. 12.14

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Værtsbaseret afsløring af ubudne gæster er blodig alvor for folk, der vil sikre sig mod hidtil ukendte trusler udefra, når de er online.

Når man nøjagtig ved, hvad der foregår under kølerhjelmen, har man også taget det første skridt i retning af at kontrollere, hvad computeren gør, og hvornår den gør det.

Linux har i nogen tid haft glæde af den beskyttelse, som større open source-systemer (ids) til afsløring af ubudne gæster giver. Windows-brugere har ikke så mange muligheder, men det betyder ikke, at truslerne mod dem er mindre farlige.

Vilkårene ændrer sig i øjeblikket så hurtigt, at det kræver en stor og stadigt voksende sikkerhedsbranche, hvis vi skal følge med. Hvis vi skal opnå og bevare et forspring, er det nødvendigt, at vi både forholder os til ukendte trusler og prøver at afsløre og stoppe de kendte.

I den forbindelse er der opstået en ny form for anti-malware. Hvis man kombinerer fordelene ved et ids-system med anden software, kan man afsløre og blokere for ondsindet aktivitet og endda rydde op efter et vellykket angreb.

Afslør ubudne gæster

Der findes to hovedtyper af ids’er, og deres beskyttelse fungerer forskelligt.

Et netværks-ids (nids) sidder på et strategisk punkt på nettet – for eksempel mellem internetrouteren og det interne net – hvor det kan se alle datapakkerne, mens de flyder igennem.

Det undersøger al den trafik, der kommer igennem, ind i og ud af nettet, og det leder efter aktivitet, der vidner om et fjernangreb.

I modsætning hertil bliver et værtsbaseret ids (hids) installeret på hver computer på nettet, hvor det overvåger den trafik, der flyder ind i og ud af netop den maskine.

Denne anden form for ids kan være ret specialiseret, og den kan overvåge individuelle dele af systemet og dets adfærd – for eksempel ændringer i registreringsdatabasen.

Et protokolbaseret ids (pids) er et endnu mere specialiseret ids. Det bliver installeret på en server (eller et sted, hvorfra det kan se al den trafik, der flyder ind i og ud af serveren) og overvåger brugen af serverens specifikke netforbindelser.

Det kan for eksempel være installeret på en webserver-protokol.

De afsløringsteknikker, som et ids bruger, fordeler sig på forskellige kategorier. Den enkleste af dem er signaturbaseret. I lighed med de fleste antiviruspakker tester den et enormt antal trafikmønstre i forhold til en stor database af profiler, der er generet af kendte angrebstyper.

Ligesom med antivirussoftware skal denne database opdateres regelmæssigt i takt med, at der kommer nye angrebssignaturer.

I modsætning til statiske virussignaturer har en ids-angrebssignatur imidlertid et klart tidselement, idet den skal kunne forstå rækkefølge, sekvens og måske også forsinkelser mellem de pakker, der er indblandet i angrebet, efterhånden som de kommer.

Find anomalier

Anomalibaseret afsløring af ubudne gæster er mere avanceret og intelligent.

Den etablerer først en grundlinje af ”normal” netaktivitet ved at overvåge nettrafik i en periode, herunder den mængde båndbredde, der bliver brugt; de brugte protokoller; de associerede porte; antallet af forbindelser og de enheder, der er forbundet med hinanden.

Når undersøgelsen er i gang, sammenligner systemet denne grundlinje med efterfølgende nettrafikmønstre. Alt det, der ikke er almindeligt, bliver betragtet som mistænkeligt.

I et application protocol-ids (apids) er grundlinjen endnu mere specifik og skal være langt mere detaljeret. Hvis et apids skal være effektivt, skal det overvåge den trafik, der bliver modtaget og afsendt af netværksprotokollen.

Derfor skal den indgående forstå den måde, protokollen bliver brugt på, for at kunne lede efter det, der afviger fra dens normale brug.

Uanset hvilken undersøgelsesteknik man bruger, kan et ids vælge mellem to løsninger, når det identificerer mistænkelig aktivitet: aktiv eller passiv. Et passivt ids afslører og registrerer simpelthen anomalier i system-adfærd og rapporterer dem til brugeren eller systemadministratoren.

Et aktivt ids kan reagere automatisk på den modtagne trussel ved at blokere indgående ip-adresser, forhindre specifikke applikationer i at afsende data, blokere for potentielle ondsindede ændringer af systemet, og det kan endda forhindre kode i at køre.

WinPatrol

WinPatrol har beskyttet computere i over 10 år, og der er lige kommet en opdatering til Windows 7.

Selvom den kommercielle version har nogle meget nyttige funktioner, er den gratis udgave aldeles glimrende til at beskytte computere på et hjemmenet.

Efter at du har downloadet det, skal du køre installationsprogrammet og klikke ’Next’. Andet er der ikke. Til sidst klikker du ’Finish’ for at køre applikationen, og nu kommer brugerfladen frem. Hvis du har lyd slået til, hører du en brummelyd.

Brugerfladen har tre rækker knapper, men nogle af dem kan kun bruges i Plus-versionen af softwaren (ikke gratis).

Klik på ’Start-up programs’, så får du en liste over alle de programmer, der starter samtidig med Windows. Selvom Windows 7 er lynhurtig til at boote i sammenligning med tidligere udgaver af operativsystemet, kan den ekstra byrde hæmme det.

Ved at vælge et program og klikke ’Fjern’ eller ’Deaktiver’ kan du midlertidigt standse autostart af dette program. Hvis det viser sig at være det program, der øger systemets boottid, kan du fjerne det fra listen.

Denne fjernelse afinstallerer ikke programmet. Hvis der er noget på denne liste, som du ikke genkender, kan du markere det og klikke på knappen ’Information’.

Hvis du ud fra disse oplysninger stadig ikke føler dig overbevist om, at det er i orden, kan du deaktivere det og genstarte. Hvis der ikke sker noget upassende, skal du fjerne det fra listen.

Den næste knap, ’Delayed start’, gør det muligt at forskyde starttiderne for forskellige applikationer.

Hvis du altid bruger en browser først, når du starter og logger på, kan du føje den til ’Delayed start’ for at sikre dig, at der ikke er ressourceproblemer, og at resten af operativsystemet er oppe og køre, før browseren prøver at koble sig på internettet.

Klik ’Add’, og naviger til applikationens eksekverbare fil. Vælg den, og klik ’OK’. Klik nu på knappen ’Delay options’. Skriv en titel til startjobbet og det tidsrum, der skal gå fra boot, til applikationen kører.

Hvis programmet kræver, at der er kommandolinjefunktioner, som henviser til det, skal du skrive dem i boksen ’Parameters’. Til sidst vælger du den måde, hvorpå du ønsker, at programmet skal fremstå – maksimeret, i et vindue eller minimeret på værktøjslinjen. Klik ’OK’, så ændrer det forsinkede startjobs navn sig til det, du har skrevet.

Genstart, så indfører WinPatrol dine ændringer. Mange mennesker afviser at opgradere til den nyeste udgave af Internet Explorer. Det betyder, at IE bliver mål for alle mulige former for ondsindede browserhjælper-objekter (BHO’er).

De udvider IE’s funktionalitet og bliver indlæst sammen med browseren. De kan også øge browserens starttid. Ofte kan normale brugere hverken afinstallere dem eller blot se dem. De er ideelle til at installere adware og spyware.

Ryd op i IE

Klik på ’IE Helpers’ i WinPatrol. Nu får du en lang liste over disse hjælpere plus browserens værktøjslinje-addons. Hvis du er irriteret over installationsprogrammer, der for eksempel insisterer på, at du installerer Yahoo Search Bar, kan du fjerne den her.

Den mængde skærmplads, som IE’s normale værktøjslinjer optager, er anselig. Der er ingen grund til at dynge mere på. Vælg en BHO eller værktøjslinje fra listen, og klik på ’Info’ for at læse mere.

Hvis du ikke kan lide det, du ser, klikker du ’Remove’ for at slette den fra IE og systemet. Du bliver bedt om at bekræfte dit valg, før sletningen finder sted.

Malware kan også fremstå som legitime, planlagte opgaver. Klik på knappen ’Scheduled tasks’. Klik igen ’Remove’ for at fjerne unødvendige eller suspekte opgaver fra listen.

Denne knap og de to andre startknapper udgør også en fin mulighed for at rydde op på en ny pc, der plager en med nagware.

Nu kan vi gå til kernen i værtsbaseret afsløring af ubudne gæster, nemlig dette at afsløre ændringer i systemet, der kan være tegn på malware, spyware eller adware.

Klik på ’Options’ for at konfigurere WinPatrol til undersøgelse.

Hjemmesidekapring spiller en stadig mere avanceret rolle inden for onlinekriminalitet. Med ’Detect changes to Internet Explorer home and search pages’ slået til får du besked, hver gang der sker ændringer i browseren eller dens konfiguration.

Afslør ændringer

Filen HOSTS er en tilbagevenden til tiden før dns, men det er også den første anløbshavn for ethvert internetfokuseret program, der prøver at opløse domænenavne i ip-adresser.

Disse programmer bruger uden videre domæne/ip-adressekortlægning i HOSTS-filen, og hvis denne fil er blevet ændret, kan den få en til at tro, at man besøger legitime websites, mens man i virkeligheden bliver omdirigeret til ondsindede sites.

Funktionen ’Warn if changes are made to my internet HOSTS and critical system files’ beskytter dig mod denne form for angreb.

Du kan også se filen HOSTS med den tilsvarende knap. Notesblok viser den.

Filen HOSTS indeholder nogle få eksempler på kortlægning mellem dns-navne og de tilsvarende ip-adresser. Hvis du ser et uden en havelåge (#) foran, betyder det, at linjen er blevet redigeret ud. Hvis du ikke har anbragt det der, kan du anbringe en havelåge ved linjens begyndelse, gemme filen og genstarte for at se, om det slår noget i stykker. Hvis det ikke er tilfældet, kan det skyldes, at malware prøver at omdirigere dig til en ondsindet side.

Når WinPatrol kører, opretter den en logfil, som du kan se ved hjælp af knappen ’WinPatrol log’.

Den heraf følgende html-side giver oplysninger om alt, hvad der sker på din pc. Hvis du trykker på ’Spreadsheet report’, får du et regneark med de samme data. Den bliver skrevet til BillPWinPatrol i mappen Programmer på C-drevet.

En sidste nyttig funktion her er ’Lock file types’. Hvis du har prøvet at være frustreret over, at legitime programmer ændrer dine omhyggeligt tilrettelagte filassociationer, selvom du har bedt om at blive fri, bliver du glad for denne funktion. Den forhindrer, at den slags ændringer finder sted.

Find alle links på www.aod.dk

WinPatrol kan hjælpe dig med at rydde op efter malwareinfektioner ved at slette det problematiske program. I WinPatrols brugerflade klikker du på ’Recent’, så får du en liste over de seneste softwareinstallationer på computeren. Dem bør du alle kunne genkende. Der er en kort beskrivelse af hver af dem, herunder navnet på producenten. Det gør det nemmere at udpege noget, der skiller sig ud.

Hvis der er noget, du ikke kender, højreklikker du på det og vælger ’Egenskaber’. Mange programmer har et funktionskald, der giver detaljerede oplysninger om fremstilleren, versionsnummer og anden information. Det gælder ikke al software. Hvis du får en fejlmeddelelse, der siger, at den specificerede procedure ikke kan findes, er der ikke nødvendigvis grund til bekymring.

Det kan være vigtigere, hvis et ukendt program returnerer falske oplysninger. Et nyt program, som du ikke kan huske at have installeret, og som hævder at være fra et velkendt softwarehus, virker suspekt.

Du sletter et program ved at højreklikke på det og vælge ’Delete file on reboot’. Man kan ikke slette kørende programmer fra harddisken, fordi deres filer er låst af operativsystemet. Når du genstarter, kører WinPatrol så tidligt i startprocessen som muligt. Det giver programmet en chance for at slette filen, før den kan køre og få sig selv låst igen.

Malware elsker at gemme sager, og den mest grundlæggende metode til at gemme noget består i at indstille de relevante bits på filens attributter. Men medmindre normal malware kan virke som et rootkit og kapre de systemkald, der returnerer en liste over kørende processer og de supportfiler, de er afhængige af, kan det aldrig for alvor gemme sig for operativsystemet.

Når WinPatrol kører med rettigheder på administratorniveau, kan det få adgang til disse oplysninger og vise, hvilke skjulte filer der i brug. Klik på ’Hidden files’ for at se dem.

Listen rummer de sædvanlige filer såsom sidefilen, der bruges af operativsystemets virtuelle hukommelsessystem. Men andre er mindre kendte. Windows har for eksempel en fil, der hedder hiberfil.sys, der står parat til at kopiere systemets ram-tilstand i de tilfælde, hvor du vil lade maskinen gå i dvale.

De filer, der begynder med ”api-ms-win-core” er dll-filer, der indeholder operativsystemets funktionalitet. De bør være ret ens, medmindre en opdatering har overskrevet dem. Hvis pc’en opfører sig underligt, selvom du ikke har installeret nogen Windows-opdateringer for nylig, og datoer og tidspunkter begynder at blive opdateret, er tiden inde til at gennemgå pc’en med en rootkitscanner.

Har onlinesikkerhed fundet de vises sten? Noget, der med et slag gør al malware ubrugelig? »Vi har lavet det første professionelle immunsystem, der kan finde, analysere og helbrede hidtil ukendte vira hurtigere, end disse vira kan sprede sig,« sagde forskere fra IBM i en artikel om emnet (www.bit.ly/et3ShS).

Dette »digitale immunsystem til cyberspace« lyder herligt, men desværre blev artiklen skrevet i 1996, da nettet, som vi kender det, var under fem år gammelt. Nu nærmer vi os det tredje onlineårti, og vi har stadig ikke set nogen digitale immunsystemer. Mange andre artikler er blevet trykt, og forskningsprojekter har givet os heuristisk malwareafsløring, men vi mangler stadig et ægte immunsystem.

Naturen har mange eksempler på arter, der kan narre andre væsners immunsystemer. Naturen bugner også af autoimmune sygdomme, men medmindre vi træffer risikable langtidsvalg for vores livsstil, kan vi normalt ikke selv få vores immunsystem til at angribe os eller slå det fra.

Det gælder ikke for pc-sikkerhed, og det viste den polske sikkerhedsforsker Joanna Rutkowska i 2008. Hun viste, hvordan man kan undergrave Windows Vistas (og underforstået også Windows 7’s) behov for eksplicit tilladelse til at indføre ændringer i computeren. Det kræver ikke andet, end at brugeren accepterer suspekt aktivitet i stedet for at afvise den.

Download WinPatrol gratis på www.winpatrol.com.

Du kan downloade Malwarebytes’ anti-malware på www.malwarebytes.org.

Hent den gratis Sophos Anti-Rootkit-software her: www.bit.ly/8iXQDJ.
Hvis du vil indberette filer, processer eller tekst i registreringsdatabasen, som du ikke kan rydde op i ved hjælp af Sophos Anti-Rootkit, og som kan være tegn på rootkitaktivitet, kan du gå til https://secure.sophos.com/support/samples. Bemærk det sikre præfiks ”https”.

Hvis du have en anden vurdering af, om din computer er fri for rootkits, kan du prøve STOPZilla fra www.stopzilla.com.

Antirootkit.com (www.antirootkit.com) er et site, der har til hensigt at undervise og bevæbne slutbrugere mod den voksende onlinetrussel.

IBM’s forskningsartikel fra 1996, der lige lovlig tidligt indvarslede en ny æra inden for beskyttelse mod fremtidige malwaretrusler, kan findes på www.bit.ly/et3ShS.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]