הכל אודות טיפול בתוכנות ריגול
עידן הפס הרחב שינה משמעותית את אופן השימוש באינטרנט, בעידן זה אנו נהנים מגלישה והורדת קבצים מהירה, ביצוע ועידות וידאו וצ'אט ועוד.
בצד ההיבטים החיוביים לעידן זה מצויות תוכנות ריגול ומעקב הידועות בשם Spyware (רוגלה), תוכנות אלה פוגעות בפרטיותך ומעבירות מידע ממחשבך לרוב ללא ידיעתך.
מאמר זה מהווה המשך למאמר "מה קרה למחשב?" ויוצא מתוך הנחה שבוצעו כל השלבים הכתובים בו.
במאמר זה אציג שיטות הנשענות גם על שימוש בכלים מצד שלישי, במקרים אלו האחריות לשימוש ולתוצאותיו מוטלת על המשתמש בלבד, חשוב לציין שהערה דומה תופיע גם ברגע הפעלת הכלים הנ"ל.
בדף זה
 | שאלות ותשובות |
| Microsoft AntiSpyware |
| SpyBot Search & Destroy |
| Hijackthis |
| Ad-Aware SE Personal Edition |
| הנחיות נוספות למומחי IT |
| סיכום |
שאלות ותשובות
ש: מה זה Spyware?
ת: Spyware (רוגלה) הוא שם כללי לטכנולוגיה של איסוף מידע על אדם או ארגון, ללא ידיעתו, פעולות אלו נעשות על ידי תוכניות המופעלות במחשבך, תוכניות אלה מעבירות מידע לגורמים חיצוניים.
ש: איך הגיע Spyware למחשב שלי?
ת: ברוב רובם של המקרים המשתמש מתפתה ומסכים להוריד ולהתקין קובץ ריצה (בעל סיומת EXE למשל), לרוב מקור הקבצים הוא הדואר האלקטרוני. מקורות נוספים הם אתרים המתקינים קבצים ללא ידיעת המשתמש וכן סרגלי כלים של חברות לא מוכרות המותקנות על גבי אינטרנט אקספלורר.
ש: אילו סיומות מהוות סיכון?
ת: ככלל כמעט ולא נותרה סיומת של קובץ שאין בה סיכון, האופייניות הן:
*.exe, *.com, *.pif, *.vbs, *.bat, *.cmd, *.scr, ועוד...
הכלל המנחה הוא: אם אינכם יודעים מה יבצע הקובץ – אל תפעילו אותו.
ש: איך אדע שהמחשב שלי נגוע?
ת: תוכל לדעת באם המחשב יבקש להתחבר לאינטרנט ביוזמתו, בנוסף דף הבית השתנה מעצמו ואין דרך לקבע אותו על הדף המבוקש, כמו כן מערכת חומת האש תתריע על תוכנות המבקשות להעביר מידע מבחוץ אל מחשבך, במקרה זה חשוב מאוד שלא לאשר את הפעלת התוכנות.
איור 1: התראת אבטחה של Windows
Windows Firewall – חומת האש של Windows XP הניתן חינם כחלק מחבילת ההגנות בחבילת התיקון השנייה – Service Pack 2 בוחנת את דרישת מערכת ההפעלה לפתיחת מבואות תקשורת ובכך מסייע לאבחן מצב בו המחשב נפגע מתוכנית ריגול.
איור 2: רישום של התראה על ידי Windows Firewall
בנוסף, ניתן לראות את ניצולת המעבד בזמן בו המחשב במצב "מנוחה" – Idle: נסגור את כל היישומים הפתוחים ונתחבר לרשת האינטרנט.
נלחץ Ctrl+Alt+Del ונעבור אל לשונית הניצולת (Performance) במנהל היישומים.
איור 3: Windows Manager (במצב מנוחה תקין)
באם אין תוכניות ריגול במחשב ולא מתבצעת תקשורת כרגע ניצולת המעבד תעמוד על 0 - 4 אחוז. באם מופעלות תוכנות ריגול ניצולת המעבד תשתנה ללא הרף ותגיע לעיתים לאחוזים גבוהים מאוד ולעיתים לנמוכים.
במקרים אלה נוכל לפנות לכלים מיוחדים המתמחים בהסרת תוכנות הריגול. בהמשך המאמר אציג מספר שיטות נוספות המיועדות למומחי IT, באמצעותן ניתן לנקות את תוכנות הריגול ידנית.
הכלים אותם אציג הם:
| • | |
| • | |
| • | |
| • |
Microsoft AntiSpyware
תוכנית זאת עדיין בשלבי פיתוח וניתנת להורדה בקישור להלן: http://www.microsoft.com/israel/athome/security/spyware/software/default.mspx
לאחר התקנת התוכנית נבצע סריקה והסרה של תוכנות הריגול שהתגלו, תוכנית זאת עובדת בתיאום עם מנגנון שחזור המערכת (System Restore) המצוי במערכת ההפעלה Windows XP כך שניתן לבצע שינויים ולחזור חזרה באם לא נתקבלה בתוצאה הרצויה.
איור 4: Microsoft AntiSpyware
את הסריקה נפעיל באמצעות הפקד Spyware Scan, בסיום הסריקה יתקבל דו"ח עם המלצות כיצד לנהוג. לתוכנית זאת יתרון משמעותי מאחר והיא מיישמת Realtime Scan בשוטף ובכך מספקת הגנה חזקה על מחשבך ובזמן אמת. ייחודה של תוכנית ה Microsoft Anti Spyware הוא יישום של יותר ממאה בקרי אבטחה (Security Agents), בקרי האבטחה מסייעים ועוצרים את מרבית האיומים עוד לפני שאיומים אלה נכנסים למחשבך.
חשוב לציין: ניתן לבצע מספר סוגים של סריקות מערכת, סריקה מהירה וסריקה מלאה, אני ממליץ להשתמש בשוטף בסריקה המהירה ולבצע מדי פעם סריקה מלאה.
SpyBot Search & Destroy
ניתן להוריד תוכנה זו מן הכתובת הבאה: http://www.safer-networking.org/he/download/index.html
גם תוכנית זאת מאפשרת ביצוע סריקה ותיקון כנגד תוכנות ריגול, יש לשים לב להודעה הבאה המוצגת מיד עם הפעלת התוכנית
איור 5: אזהרה המוצגת על-ידי Spybot Search & Destroy
בהמשך תציע התוכנית לבצע גיבוי למערכת הרישום (Registry) של Windows, ביצוע עדכונים לבסיס נתוני התוכנית וקריאת מדריך הפעלה שלבים אלו מומלצים מאוד.
איור 6: Spybot Search & Destroy מציע לבצע גיבוי למערכת הרישום
איור 7: ממשק המשתמש של Spybot Search & Destroy
Hijackthis
ניתן להוריד חינם תוכנית זאת בקישור להלן: http://www.spychecker.com/program/hijackthis.html
תוכנית זאת מסייעת להפסקת תוספי דפדפן כגון סוגים שונים של סרגלי חיפוש לא רצויים, השימוש בתוכנית קל ויעיל מאוד, כל הנדרש הוא לבצע סריקה, לסמן V על הגורם הרצוי (לרוב נזהה אותו לפי השם המופיע ברשימה שהתקבלה, וללחוץ על פקד התיקון, השינויים נשמרים וקל לחזור חזרה)
איור 8: תוצאות סריקה של HijackThis
תפריט Advanced יציג בפנינו את הלשונית Backups המאפשרת חזרה אחורה וביטול שינויים שביצענו.
איור 9: התפריט Backups בתוכנת HijackThis
Ad-Aware SE Personal Edition
תוכנה זו זמינה להורדה ללא תשלום בקישור להלן: http://www.lavasoftusa.com/support/download/
גם כלי זה מספק הגנה חזקה בדומה לכלים הקודמים שציינתי.
הנחיות נוספות למומחי IT
MBSA: האם אני מוגן כהלכה?
אבטחת המחשב האישי דורשת כיול הגדרות רבות, למשל הגדרות האבטחה המקומית (Local Security Policy) הכוללת הגדרות אבטחה רבות.
Microsoft Baseline Security Analyzer או בקיצור MSBSA נוצר בכדי לסייע בביצוע בדיקת אבטחה מקומית למחשב בודד ובדיקת אבטחה למחשבים ברשת.
בסיום הבדיקה מוצג דו"ח ובו המלצות כיצד לשפר ולאבטח את המחשב, הדו"ח נשמר וניתן לעיין בו שוב במועד אחד, כמו כן ניתן לייצא את הדו"ח ליישומים אחרים כגון Word וכו'.
לקבלת מידע נוסף והורדה חינם של MSBSA, בקרו באתר MBSA.
איור 10: דו"ח המופק על ידי MBSA עם סיום הסריקה
הגרסא הנוכחית, גרסא 1.2.1 כוללת תמיכה במאפייני Windows XP Service Pack 2 ומספקת מידע על תצורת חומת האש, תצורת מערכת העדכונים האוטומטיים, אבטחת Internet Explorer ועוד.
כלי שירות חדש: Port Reporter
Port Reporter הוא כלי שירות הניתן להורדה חינם, כלי זה מנתר את פעילות מבואות ה TCP ו UDP במערכות Windows.
לכלי זה יכולות נרחבות כאשר מופעל על Windows XP ו Windows Server 2003:
1. | מעקב שימוש במבואות |
2. | מי היישום המשתמש? |
3. | האם הוא שירות מערכת?, אם כן אילו רכיבים הופעלו, באמצעות איזה חשבון משתמש הופעלו. |
כאשר מפעילים כלי זה על Windows 2000, יתאפשר רק ניטור אילו מבואות בשימוש, ומתי.
ניתן להוריד חינם את ה Port Reporter בקישור להלן.
תוכנית השירות File Signature Verification
מערכת חלונות מקפידה על שימוש במנגנון חתימת הקבצים לקובצי מערכת ולמנהלי התקנים, קובץ חתום הוא קובץ שעבר בדיקות תאימות מקיפות במעבדות האיכות של מיקרוסופט, Windows Hardware Quality Labs (WHQL).
תוכנית השירות File Signature Verification כלולה ב Windows XP ומאפשרת ביצוע בדיקה כך שנדע האם כל קובצי המערכת חתומים, בדיקה זאת חשובה מאחר ותוכנות ריגול מחליפות קבצי מערכת בזמן התקנתן, דבר שיכול לסכן את יציבות ולשבש את תפקוד מערכת חלונות.
נפעיל את תוכנית השירות ע"י Start > Run והקלדת Sigverif, נוכל לבחור גם אפשרויות מתקדמות.
איור 11: ממשק File Signature Verification
אפשרויות בקרה נוספות ב Service Pack 2
אפשרויות חדשות הוספו לתוכנית השירות Netstat, ראשית נפעיל את תוכנית ה Tasklist, נשתמש באפשרות /svc (יש להקליד Tasklist /svc בחלון Cmd), נקבל פירוט על כל התהליכים המופעלים במע', נוכל לראות זיהוי התהליך (PID=Process ID)
איור 12: שימוש בפקודת Tasklist
כעת, נפעיל את תוכנית ה Netstat נשתמש באפשרויות הבאות:
| • | netstat -b – אפשרות חדשה הזמינה ב SP2, Netstat יציג את שמות היישומים המאזינים על מבואות TCP ו UDP  איור 13: אפשרות חדשה בפקודת netstat |
| • | netstat -anb מציג את רשימת כל מבואות ה TCP ו UDP בציון שמות היישומים שהפעילו אותם, (ניתן לקשר לרשימת התהליכים ע"פ ה (PID.  איור 14: אפשרויות נוספות בפקודה netstat |
כמו כן, ניתן לקבל מידע על מצב חומת האש באמצעות הפקודה Netsh firewall show config
הערה: מומלץ לבצע שתי פעולות נוספות לאחר סיום פעולות הניקוי:
1. | נשחזר את הגדרות חומת האש לברירת המחדל, נקליד "netsh firewall reset" בשורת פקודה (חלון CMD).
|
2. | ננקה את קטלוג מערכת ה Winsock Catalog ע"י הקלדת הפקודה "netsh winsock reset".
|
סיכום
במאמר זה הצגתי שילוב של שיטות גילוי וכלים לטיפול בנגע תוכנות הריגול, חברת מיקרוסופט ממשיכה לפעול ולהלחם בתופעה שלילית זאת מתוך מחויבותה ללקוחותיה למען ייהנו ממערכות מחשוב זמינות ובטוחות.
אני מאחל לכולכם גלישה מהנה ובטוחה.
עמית מרלוב
Windows Client Regional Director
מיקרוסופט ישראל
אודות המחבר
עמית מרלוב הוא בעל תואר MCT של מיקרוסופט, מהנדס אלקטרוניקה ומרצה בכיר ומנהל תחום פתרונות וירטואליים מבית מיקרוסופט במכללת סלע, אשר מתמחה במערכות מיקרוסופט.
כמו כן, עמית הוא ה- Microsoft Windows Desktop Regional Director.