Tech techline.hu 2011. augusztus. 23. 05:00

Hamis vírusriasztások. Mikor aggódjunk?

Farkas persze soha nem volt, egészen az utolsó esetig, a valós veszélyig: de akkor már senki nem hitt a híres anekdóta...

Farkas persze soha nem volt, egészen az utolsó esetig, a valós veszélyig: de akkor már senki nem hitt a híres anekdóta főhősének. Ha tehát minden apróságra azonnal ugrunk, akkor fennáll a veszély, hogy „farkast kiáltottunk”. Furcsa módon azonban ennek ellenkezője sem lehet megoldás: a veszélyt ugyanis nem szabad figyelmen kívül hagyni. Martin Niemöller atya híres mondása szerint: „Először a kommunistákért jöttek, de nem szóltam, mert nem vagyok kommunista. Aztán a zsidókért jöttek, de nem szóltam, mert nem vagyok zsidó. Végül, amikor értem jöttek, már nem volt, ki szóljon.”

Ez a feloldhatatlan kettősség napjainkban a vírusirtók (és felhasználóik) egyik sajátja. Bármit is mond a vírusirtó, a legtöbben fenntartások nélkül elhisszük. Némileg jogosan megijedünk, sőt szinte vakon követjük a víruskergető által felkínált megoldást. Ami a legtöbb esetben karantén, vagy törlés. Nem tehetjük meg azonban azt sem, hogy nem veszünk tudomást egy-egy riasztásról.

 A hamis riasztás azonban sok esetben károsabb, mint maga a vírus. Számos híres eset fordult már elő. A legnevezetesebb 2007 májusában, amikor egy adatbázis frissítést követően a Norton Antivirus egy Windows rendszerfájlt észlelt fenyegetőnek, amit le is törölt. Milliók számítógépe képtelen volt elindulni, mivel a szóban forgó fájl nem volt vírus, viszont szükség volt rá a Windows bootolásához. De az AVG is hajlamos ilyen megmozdulásokra. Ha tehát minden riasztást elhiszünk, könnyen bajba sodorhatjuk magunkat. A másik véglet sem jobb: szintén káros, ha úgy gondolunk a vírusirtóra, mint aki „mindig farkast kiált”, hogy aztán a végén tényleg bekapjunk egy-egy igazi kártevőt… A hamis riasztások alól sajnos egy vírusirtó sem kivétel. Mit tehetünk, hogy megelőzzük a bajt? Meg tudjuk különböztetni a valós veszélyt a hamistól? Szerencsére igen: van pár alapszabály, amiket betartva egész jó „szimatra” tehetünk szert az igazi, és a hamis vírusok megkülönböztetésének tekintetében. Mielőtt azonban nekilátunk, tekintsük át mi is áll a dolog hátterében.

A hamis vírusriasztások hivatalos neve „false positive alert”. (FPA) A vírusok számának és a vírusirtók adatbázisának növekedésével arányosan növekszik az FPA-k száma is. Ennek oka egyszerű: hamis riasztást akkor kapunk, ha egy adott futtatható programkód részlete megegyezik, vagy nagyon hasonlít egy vírus által használt „signature” kódhoz, amit a vírusirtók adatbázisában tárolnak. Sok esetben már az is elég, ha a kódban valamelyik vírus signature-kódjához hasonló parancsok vannak. Mivel egyre több a szoftver, és egyre több a vírus, az egyezés is egyre gyakoribb. Rengeteg esetben előfordult már, hogy egy népszerű programot nézett vírusnak a védelem. 2007-ben szinte minden vírusirtó a Pegasus Mail futtatható állományára „visított”, pedig semmi kártékony nem volt benne. 2010 áprilisában a McAfee adatbázisa az svchost.exe nevű, egyébként ártalmatlan Windows processzt találta kártékonynak, idegesítő „reboot-loop”-ot okozva ezzel: a gépek elindultak, majd lekapcsoltak, majd újra elindultak… Nem minden vírus tehát, ami annak látszik. A legjobb, ha követjük az alapszabályokat, ezek segítségével viszonylag könnyen eldönthető, hogy tényleg vírusról van-e szó… Lássuk!

Első lépés: SOS azaz „Second Option Scan”.
Szinte minden biztonsági szakértő és rendszergazda ajánlja, nagyon helyesen. Bármilyen jó és aktuális a gépünkre telepített víruskergető, biztos, hogy nem tévedhetetlen. Ha egy fájl gyanús, de nem vagyunk benne biztosak, hogy vírus-e, akkor használjunk SOS-nek valamilyen másik vírusirtót. A gépre még egyet telepíteni nem érdemes (a legtöbbször összeakadnak, és egymást próbálják leirtani…), szerencsére azonban van rengeteg online vírusirtó is. Beriasztott az AVG? Nézzük meg a fájlt a Virustotal-on vagy a Kaspersky online vírusirtóján.  

Második lépés: nézzük meg a vírus nevét
Egyszerű megoldás: talál valamit a vírusirtó, és kiírja a vírus/malware/worm/trójai nevét. Jó ha tudjuk, olyan vírus, hogy „generic” olyan nem létezik. Ha a víruskergető „generic-trojan” vagy „generic.worm” nevű riasztást ad, akkor szinte biztos, hogy hamis riasztással van dolgunk. Hiszen még a nevét sem tudja kideríteni a vírusnak (innen az általános, „generic” elnevezés.) Ilyen esetekben annyi történik, hogy olyan kódrészletet talált a vírusirtó, aminek részei hasonlítanak a vírusokéhoz, így szerinte előfordulhat, hogy vírusról van szó. Talán. Vagy nem. De azonosítani mindenesetre már nem tudja. A „generic” tehát szinte biztosan FPA, ellenben a nevén nevezett találatok (pl. „Trojan-PSW.Win32.LdPinch.abm”) szinte biztosan valós veszélyt jelentenek.

Harmadik lépés: nézzük meg a forrást
Nem mindegy, mit és honnan töltünk le. Vírusriasztást kapunk a CNet Download.com oldaláról letöltött szoftverre? Vagy a Tucows-ról, Steam-ről leszedett játékra? Nézzük meg a forrást és gondoljunk csak bele… A példánál maradva: világ legnagyobb IT cége, a CNet által üzemeltett Download.com, a világ egyik legnagyobb és legmegbízhatóbb letöltő szolgáltatása, ahol naponta többször ellenőriznek minden linket és szoftvert… felpakoltak volna egy vírust? Nem valószínű. Ha így történt volna, nagyon gyorsan kibukna a probléma és két perc alatt eltűnne a link a rendszerből. Sokkal valószínűbb a false positive jelentés. A fejlesztő weboldaláról töltünk le valamit? Guglizzunk rá a szoftverre, ha nem látunk semmi gyanúsat (ha tényleg vírusos lenne, akkor találunk pár blog és fórumbejegyzést) akkor false positive a dolog. Ráadásul a fejlesztők ritkán pakolnak vírust az általuk felkínált szoftverekbe. Hogy honnan töltjük le a riasztást okozó csomagot, az sokat elárul. Vannak megbízható, és vannak „gyanús” helyek és weboldalak. Hogy melyik-melyik annak eldöntése sajnos ránk marad, de a Google és a tapasztalat segíthet.

Negyedik lépés: keressünk MD5-re.
Az MD5 (Message-Digest algorithm 5) egy speciális azonosító (hash). Ha a Virustotal-t használtuk a vizsgálathoz, akkor a jelentés alján megtaláljuk, de a legtöbb vírusirtó jelentéséből szintén kibányászható. Ha mégsem sikerülne, akkor ezzel az ingyenes szoftverrel bármely fájl MD5 láncát megszerezhetjük. Ha megvan az MD5 nincs más dolgunk, mint beadni kedvenc webes keresőnknek: rögtön kiderül, hogy a szóban forgó fájl rejt-e magában bármilyen veszélyt.

Ötödik lépés: vizsgáljuk meg a fájl helyét
Ha a riasztás a különböző „temp” könyvtárakból, a dokumentumok mappából, vagy a Windows könyvtárból (sőt a system, system32 és hasonló helyekről) érkezik, akkor van okunk gyanakodni. Szinte biztos, hogy kártékony kódról van szó. Ha a riasztás valamelyik telepített szoftver saját könyvtárából érkezik, akkor valószínű a hamis riasztás. A vírusok lényege ugyanis, hogy elrejtőznek. Ennek érdekében a nevük is semmitmondó vagy Windows rendszerfájlokkal azonos (pl. „crypt32.dll” ami egy híres keylogger) és persze fizikai elhelyezkedésük is rejtett. Igen ritka, hogy egy vírus oda telepedjen, ahová az őt hordozó szoftvert is telepítettük. Ezzel az erővel akár az asztalra is tehetné magát (jó nagy parancsikonnal, ráírva, hogy „Vírus vagyok!”), márpedig ilyen vírus nincsen.  Vizsgáljuk meg tehát hogy „honnan jön” a riasztás: a lokáció sokat elárul.

Hirdetés
Kult Köves Gábor 2024. december. 29. 20:00

Dobó Kata amerikai filmje és Andy Vajna vikingjei is az élmezőnyben – Hollywood legnagyobb bukásai

Hollywood legnagyobb bukásai közt van olyan film, amely öt rendezőt fogyasztott el, köztük Coppolát is. És olyan is, amelynek zsiráf szereplője rálépett a saját péniszére. Börtönbe küldött rendező, reciklált díszlet, elhízott rabszolgalány és egy elképesztő szexjelenet – Tim Robey, a Telegraph filmes újságírója Box Office Poison című könyvében mesél a legendás bukások hátteréről. A szerzővel beszélgettünk.