מאת: נתנאל בן-שושן

מהי Malware וכיצד היא מגיעה אל המחשב שלי?

ה- Malware או Malicious Software או תוכנה זדונית, אשר מטרתה היא להוות נזק למחשב, השם Malware הינו שם כללי לאוסף של מזיקים דוגמת Spyware ו- Adware, בדומה לכך שהמינוח וירוס מתייחס בכלליות לסוגים שונים של מזיקים דוגמת סוס טרויאני, תולעים וכדומה.

ה- Malware יכולה להגיע למחשב שלך בכמה דרכים, כאשר הבולטות ביניהן הן:

· הורדה של תוכנה אשר מכילה Adware/Spyware – כיום קיים פיתוי רחב להוריד יישומים אשר מתיימרים לספק פתרונות, משחקים, ושאר כלים אשר כלולים בסל ה"חינם" באתרים שונים ומשונים, לרוב ההדבקה של המחשבים נעשית באמצעות יישומים אשר מציגים את עצמם כ- Freeware.

· לחיצה על חלונות קופצים (Pop-ups) או סרגלים (Banners) – לאחר התקנה של תוכנות זדוניות מתווספים לעיתים סרגלי כלים לדפדפן או קופצים חלונות, לחיצה עליהם עלולה לגרום להתווספות נוספת של תוכנות מזיקות או לבצע הזרקה של קוד למערכת ההפעלה.

· אי-שימוש בתוכנית אנטי-וירוס ותוכנית Anti-spyware – חוסר שימוש בתוכנת אנטי-וירוס ו- Anti-spyware עלולה לגרום להצטברות של וירוסים ותוכניות זדוניות על-גבי המחשב שלך מבלי שתדע זאת ולגרום לנזק רב, כמו כן, התקנה של תוכנית אנטי-וירוס ו- Anti-spyware אינו פוטר אותך כמשתמש מ- Malware, עלייך לעדכן את תוכניות ההגנה שלך על-מנת שיעדכנו את מאגר החתימות שלהן וידעו לזהות תוכניות זדוניות ודפוסי פעולה חדשניים.

· גלישה לאתרים המבצעים הזרקה של Exploits למערכת ההפעלה – קיימים אתרים שגלישה אליהם מובילה לתהליך אשר חבוי מעין המשתמש הפשוט אשר מזריק קוד למערכת ההפעלה או מוסיף ערכים לקרביים של המערכת דוגמת ה- Registry.

הערה: חשוב לציין בשנית, כי שימוש באנטי-וירוס ו- Anti-spyware אינו יעיל כאשר התוכנית אינה מעודכנת משום שהתוכנות אינן שוות כלל ללא שימוש בחתימות (Signatures) עדכניות. זוהי טעות נפוצה אצל משתמשים ארגוניים וביתיים רבים אשר מהווה "פתח" לוירוסים ותוכנות זדוניות.

ניקוי ידני של Malware

ניקוי אוטומטי כיום אינו מספיק משום שקיימות מספר תוכנות זדוניות אשר יודעות לשבש פעולת אנטי-וירוס ו- Anti-spyware ולכן, חשוב לבצע ניקוי ידני של Malware מהמחשב ע"י נקיטת הצעדים הבאים:

1. ניתוק המחשב מן הרשת – קיימות תוכנות זדוניות ווירוסים אשר "ניזונים" באופן חי מן רשת האינטרנט, לדוגמה, תוכנות המכילות Spyware ועוקבות אחר הרגלי המשתמש עושות שימוש ב- Agent היושב אצל המשתמש במחשב, ושרת(ים) אשר מקבלים דיווח אודות דפוסי הפעולה של המשתמש. כמו כן, ייתכן ופעולת הניקוי לא תצליח משום שה- Malware שנרצה לנקות יסומן כ"תוכנית בשימוש" עקב הגישה לאינטרנט ולכן לא נוכל לסגור את התהליך שמריץ אותו.

קיימות שתי אפשרויות לניתוק המחשב מן האינטרנט:

אפשרות א' – ביטול כרטיס הרשת, במערכות Windows יש לגשת לחיבור (בדרך כלל תחת My Network Places או Network במערכות חדשות כגון Windows Vista/Server 2008/7) ולבצע "כיבוי" של כרטיס הרשת באמצעות אפשרות Disable. ניתן לבצע זאת גם דרך "מנהל ההתקנים" – ה- Device Manager.

איור 1: ביצוע Disable לכרטיס הרשת דרך Device Manager

אפשרות ב' – לנתק את כרטיס הרשת פיזית מן כבל הרשת, במקרה של רשתות אל חוטיות – במרבית המחשבים הניידים קיים כפתור אשר מאפשר להדליק ולכבות את ה- Wireless; בשימוש בכרטיס Wireless בתקן USB/PCMCIA – ניתן לשלוף את הכרטיס לאחר ניתוקו מן המערכת בצורה מסודרת (Safely Remove Hardware) או לאחר כיבוי המחשב (תלוי בדגם המחשב וביכולות השליפה שלו), בעת שימוש בכרטיסי רשת אל-חוטיים פנימיים (PCI) ניתן פשוט לבצע Disable לכרטיס הרשת ב- Device Manager.

2. זיהוי ה- Malware - תהליך הזיהוי אינו תהליך אשר ניתן לבצעו בצורה אוטומטית מלאה עקב סיבות רבות, כאשר הבולטות ביניהן הן שלכל תוכנה זדונית אופי פעולה שונה, יש תוכנות הנוהגות להתחבא בצל Rundll32 לדוגמה, ויש תוכנות הנוהגות להתחבא ב- Registry ולהפעיל את עצמן משם בכל פעם שהמחשב פועל, וכדומה. כמו כן, לכל תוכנה זדונית שם שונה, קבצי ריצה שונים ובעלי תתי-קבצים שונים.

בכדי למקד את החיפוש אחר ה- Malware יש לשאול את עצמינו: מה אנחנו מחפשים? התשובה הפשוטה היא תהליכים, או Processes בז'רגון המקצועי. התשובה המפורטת היא תהליכים אשר נראים חשודים – אם לתהליך מסוים אין חתימה ופירוט אודות היצרן, לתהליך יש רכיבי DLL ושירותים (Services) חשודים ו\או הוא מארח תחתיו עוד תהליכים חשודים אשר מכילים בעצמם רכיבים שכאלו אשר הינם חשודים; וכמו כן, חיפוש אחר תהליכים בעלי נקודות TCP/IP פתוחות (TCP/IP endpoints).

לאחר שמיקדנו את החיפוש יש להתחיל את החיפוש ע"י הרצת תוכנית האנטי-וירוס וה- Anti-spyware שלכם, אשר עלייה להיות עדכנית, במידה ומצאה מספר תוכנות זדוניות – התהליך מצומצם עקב מציאה ראשונית אוטומטית באמצעות הכלים המותקנים על-גבי המחשב שלך, ולאחר מכן, יש לעבור לשלב הזיהוי הידני.

חשוב לציין בשלב זה כי אם אין ברשותך תוכנת אנטי-וירוס ו- Anti-spyware רצוי לעיין ברשימת התוכנות המומלצות שמצויה בסוף המסמך, בה ריכזתי רשימה של תוכנות יעילות וחינמיות העוזרות להשלמת התהליך ו\או כמו כן, לבצע סריקה Online באתרים אשר מצורפים אף הם לרשימה זו.

כעת, לאחר השלמת הסריקה וההסרה של התוכנות אשר מבצעות פעולת סריקה והסרה בצורה אוטומטית, נעבור לתהליך הידני. לשם כך עלייך להשתמש ב- Process Explorer מבית Microsoft (לשעבר הייתה שייכת ל- Sysinternals), באמצעות Process Explorer נוכל לקבל מידע נרחב מזה אשר זמין ב- Windows Task Manager, וכך לגלות יותר אודות התהליכים החשודים.

כאמור, הפרטים הראשוניים אשר יש לברר אצל תהליכים הוא התיאור, שם החברה אשר מייצרת את התהליך, וחתימת היצרן. בתמונה המצ"ב ניתן לראות תהליך עלום פרטים מזהים.

איור 2: תהליך חשוד ב- Process Explorer

לאחר מציאת התהליך החשוד יש לגשת לנתיב (Path) בו נמצא התהליך, ייתכן ויהיו קיימים גם תתי-תהליכים, והייחוס יהיה מס' תהליכי בנים לתהליך אב, במקרה שכזה יש לפעול תחילה עם תהליכי הבן.

לאחר שמצאנו את קובץ הריצה של התהליך, יש לברר אודותיו, מומלץ לברר באינטרנט אודות התהליך, לדוגמה באם קיים תהליך בשם nsvsvc.exe, ניגש למנוע החיפוש המועדף עלינו ונריץ חיפוש נרחב אודות nsvsvc.exe, במקרה הנ"ל מצ"ב תמונה של פרטים אודות קובץ זה; בתמונה ניתן לראות פרטים אודות התהליך כולל מידת הסיכון שלו.

איור 3: פרטים אודות nsvsvc.exe באתר ProcessLibrary.com

זיהוי Rootkits – תת נושא הקשור ל- Malware הוא ה- Rootkits ושווה התייחסות בימים אלו, ה- Rootkits ע"פ הגדרתו של מארק רוסינוביץ' היא תוכנה או אוסף של תוכנות אשר מחביאה את עצמה ואובייקטים נוספים דוגמת קבצים, תהליכים, ומפתחות ב- Registry, מפני תוכנות אבטחה, דיאגנוסטיקה וניהול.

הנושא העיקרי שמוביל לכך שנוסף מקטע אודות זיהוי Rootkits הוא שגם ה- Malware מתיימרת להתנהג כמו Rootkit ולהחביא כל דבר, בדומה ל- Rootkits אשר מצליחה להחביא בצורה וירטואלית מעולה תהליכים, "דרייברים", שירותים (Services), מבואות (ports) של TCP/IP וכדומה.

קיימים כיום כלים, אשר חלק מהם מוטמעים במערכת ההפעלה וחלק דורשים הורדה והתקנה נפרדת עקב היותם צד שלישי, וכמו כן, כלים אשר דורשים תשלום, ומצליחים לזהות ולהסיר חלק מן ה- Rootkits הבולטים, דוגמה לכלים שכאלו הם ה- Microsoft Windows Malicious Software Removal Tool (המוכר כ- MRT.EXE) אשר מספקת אפשרות לסריקה מלאה ומעמיקה (ראה איור).

איור 4: אפשרויות הסריקה של ה- MRT

מלבד הכלי המובנה, קיימים כלים נוספים דוגמת GMER, Microsoft RootkitRevealer, F-Secure Blacklight ו- IceSword. מומלץ ואף רצוי להשתמש במספר כלים ולשלב מתודות סריקה שונות באמצעותם על המחשב שלך.

חלק מן התוכנות דוגמת RootkitRevealer עושות סריקה מקיפה של ה- Registry כולל חיפוש תחת HKLM\System ו- HKLM\Software וה- File system, מלבד זאת, היא מבצעת סריקה של ה- Windows API ומשווה בין ה- Raw data.

תוכנות אחרות בסה"כ מחפשות לפי Signatures מרשימה שהן מציגות מבעוד מועד ומצהירות כי הן יודעות לנקות אך ורק מספר מסוים של Rootkits – שילוב של מספר מתודות כמו שהוזכר לעיל הוא יעיל, כך ניתן לסרוק ולאתר מנקודות שונות את המחשב מפני Rootkits.

3. הסרת המזיקים – ככלל, התוכנות מתיימרות להסיר את מרבית המזיקים אשר נתפסו בצורה אוטומטית, אך לצערנו לא תמיד ניתן להסיר את המזיקים כאשר חלקם עדיין פועלים ו"בשימוש".

בכדי להסיר את המזיקים ה"קשים להסרה" מומלץ לאתר תחילה את התהליכים אשר שייכים לאותם מזיק באמצעות Process Explorer (שדרכו גם ניתן למצוא את הנתיב, ה- Path, בו שוכן המזיק), "להרוג" את התהליך (Kill Process), ולמחוק ידנית את הקבצים מהנתיב בו הם שוכנים.

במידה ועדיין מערכת ההפעלה לא מאפשרת למחוק את הקבצים עקב הגנה של "דרייבר" או תהליך המקושר אליו לדוגמה נסה לשנות את שמות הקבצים הרלוונטיים ולמחוק בשנית.

במידה והקבצים עדיין מתעקשים להישאר על המחשב יש לנסות להשתמש ב- Movefile מבית Sysinternals ולתזמן את שינוי השם של הקובץ לפעם הבאה שמערכת ההפעלה מבצעת הפעלה מחדש.

ניתן להשתמש גם ב- Autostarts הכלול בחבילת ה- Sysinternals suite אף הוא, ולאתר מזיקים אשר פועלים בכל פעם מחדש עם ביצוע הפעלה של המחשב ולמנוע מהם לפעול בפעם הבאה שהמחשב יפעל וכך למחוק אותם כשלא יהיו בשימוש.

אפשרות חשובה שאין לפסוח לגביה במידה והטורדנים אינם מאפשרים נסיגה, יש לשקול שימוש ב- Safe Mode ולנסות להסיר דרכו את המזיקים.

במקרה הגרוע ביותר בו הקובץ עדיין מתעקש להישאר על-גבי המחשב יש להפעיל את המחשב דרך דיסק הצלה דוגמת BartPE/Windows PE ולמחוק בצורה אגרסיבית את הקובץ באמצעות פקודת Del.

מלבד מזיקים אשר נתפסו בקבצים, קיימים שאריות לעיתים רבות גם ב- Registry, אשר קשה להסירם בצורה רגילה ע"י מנקי Registry מכיוון שהם מכילים ערך "NULL" בסוף הערך, ולכן לא ניתן לפתוח ערכים אלו באמצעות ה- Registry בצורה רגילה, ויש להשתמש בכלים כמו REGDELNULL מבית Sysinternals אשר מאפשר הסרה של ערכים המכילים NULL.

כאשר גם במקרה זה במידה של כשל להסרה יש להסיר מה- Registry המקומי את הערכים הללו דרך כלי הצלה דוגמת Windows PE.

4. הפעלה מחדש וחזרה על הפעולות – במידת הצורך יש לחזור על הפעולה מספר פעמים בכדי להגיע לתוצאות גבוהות אשר לא ישאירו מידע על גבי המחשב, חשוב לציין כי לעיתים רבות יישארו בכל אופן "שאריות" של ה- Malware/Rootkit על-גבי המחשב שלך למרות מאמצי הניקיון האדירים שתשקיע מכיוון שה- Malware/Rootkit מתחכמים עם הזמן ומצליחים להערים לא פעם על תוכנות האנטי-וירוס וה- Anti-spyware טובות ומעודכנות ככל שיהיו.

רשימת תוכנות יעילות