Przeglądając dział Bezpieczeństwo na Forum dobrychprogramów, natknąć się można na tuziny wątków z załączonymi dziennikami programu FRST, rozbudowanego narzędzia do generowania raportów o stanie systemu. Netykieta działu wprost informuje, że załączenie logów FRST jest “obowiązkowe”, bo bez nich nie ma o czym rozmawiać. To sensowne oczekiwanie. Wspomniane logi są bowiem nieprzeciętnie szczegółową inwentaryzacją komputera. Zdecydowanie pomogą w rozwiązywaniu problemów.
Sęk w tym, że nie wszystkie problemy zawsze warto rozwiązywać. Wątki w dziale Bezpieczeństwo dotyczą identyfikowania infekcji, ale poza tym, często opisują sposoby ich usunięcia. O ile poznawanie symptomów obecności malware’u jest bardzo pouczające, bo wraz ze znajomością wektorów wejścia stanowi cenną wiedzę, “usuwanie” infekcji to już znacznie mniej jednoznaczne zagadnienie.
Komu ufać?
System zaatakowany złośliwym oprogramowaniem powinien przestać być systemem zaufanym. Niezależnie od tego, czy przeprowadzono oczyszczanie uznane za skuteczne. Powodów, dla których nie powinno być to przedmiotem wątpliwości, jest sporo. Oto najważniejsze z nich:
- Zakładamy, że FRST podał wszystkie źródła infekcji
- Zakładamy, że żaden z pozornie poprawnych wpisów w logu nie jest fałszywy
- Usunięcie infekcji bez usunięcia jej źródła (w postaci oprogramowania lub złego zwyczaju) sprawi, że wkrótce zapewne wróci
- Zakładamy, że oczyszczanie przebiegło poprawnie
Stosowanie takiego arsenału założeń jest bardzo optymistycznym podejściem. Kwestionowanie ich jest z kolei trudne z powodów psychologicznych. Wprawni interpreterzy logów FRST mogą nie przyjąć argumentu o tym, że nowe generacje szkodników potrafią naprawdę skutecznie podszyć się pod “niewinne” wpisy systemowe, co może umknąć ich uwadze.
Malware nowej generacji
“W naturze” występują dziś trojany, które aktywują się za pomocą Harmonogramu Zadań, przy pomocy wpisów w folderze Windows Update, używając do tego celu podpisanych plików Windows, leżących we właściwych miejscach. Omijają w ten sposób antywirusy, powracają po usunięciu i nierzadko ukrywają się przed wprawnym okiem ekspertów. Oczywiście, takie infekcje prawie zawsze da się jednak wyśledzić, a ich usunięcie niemal na pewno neutralizuje zagrożenie. Czy na pewno chcemy jednak polegać na “mniej więcej skutecznych” rozwiązaniach?
Malicious actors are using msiexec as a downloading tool. (rather than the usual download + execution)
The MSI file downloaded appears to be a Notepad++ installer with an #ostap obfuscated JavaScript payload concatenated to the end. #lolbin #msiexec https://t.co/2yWhvKMOya pic.twitter.com/G58N8sz9fZ— ¬ whickey (@notwhickey) December 3, 2020
Dyskusja o usuwaniu zagrożeń pomija zatem pytanie, które należy zadać na samym początku: dlaczego po prostu nie zainstalować systemu na nowo? Logi FRST pozwalają dowiedzieć się, czy problem jest związany rzeczywiście z infekcją, a nie z awarią jakiegoś programu lub błędną konfiguracją. Umożliwia także oszacowanie (zgrubne) powagi sytuacji – wiedzieć, czy do usunięcia jest rosyjska wyszukiwarka, czy potencjalny ransomware.
Dlaczego nie reinstalacja?
Ale akcja ratunkowa powinna niemal bez wyjątku polegać na zaoraniu dysku i instalacji systemu od zera. Użytkownicy wydają się jednak wzbraniać przed tym krokiem tak długo, jak tylko się da. Ale dlaczego? Oto wysoce niekompletna lista powodów:
- Instalacja systemu uchodzi za trudną
- Brak nośnika instalacyjnego lub klucza
- Brak sterowników
- Obawa o utratę danych
- Długa czas trwania procesu
Są to wytłumaczenia o wiele lepsze od “da się naprawić”. Usilne wmawiani ludziom niepewnym technologicznie, że proces reinstalacji jest łatwy, może nie być poprawnym podejściem. Nawet pomniejsze problemy mogą zaowocować pozbawieniem się sprawnego komputera.
Gotowi na problemy
Kwestie czysto software’owe, jak obawa o dane oraz brak sterowników/instalatora, to już zupełnie inna sprawa. Świadczą o popełnieniu dość istotnych zaniedbań. Oczywiście, rozwiązaniem problemów osób zmagających się z trojanami nie jest powiedzenie im “trzeba było mieć kopie”. Gdy ich nie ma, zachodzi potrzeba ratowania się tym, co jest pod ręką. To jasne.
Dlatego wśród kroków profilaktycznych warto przede wszystkim uwzględnić stworzenie pendrive’a instalacyjnego systemu oraz zbioru sterowników. Ambitni mogą je połączyć z obrazem za pomocą NTLite (ci jednak rzadziej szukają pomocy z infekcjami…). Prędką reinstalację ułatwi wydzielenie oddzielnej partycji na dane nietrzymane w chmurze (i podpięcie katalogów na niej do systemowych Bibliotek). No i oczywiście kopia zapasowa.
Zaopatrywanie się na wypadek reinstalacji nie jest “planowaniem zorientowanym na porażkę”. Naiwnym jest myślenie, że tuzin antywirusów, rosyjskie skrypty optymalizujące oraz wszelkie zbędne odkurzacze zapewnią niezniszczalność oprogramowania na komputerze. Garść porad związanych z zabezpieczaniem software’u pojawi się już wkrótce, we wznowieniu naszej serii o zabezpieczaniu peceta. Dotychczas zajmowaliśmy się bowiem zagadnieniami sprzętowymi.
Zgłoś naruszenie/Błąd
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS