Megfelelő felkészülés nélkül nagyon kellemetlen, ha a számítógép valamilyen internetes kártevővel fertőződik meg. Cikkünkben a spyware-ek és más élősködők eltávolításához, az ellenük való védekezéshez adunk útmutatót.

Napjainkban a legelterjedtebb internetes károkozók nem a hagyományos vírusok, hanem a férgek, kémprogramok, trójai szoftverek, keyloggerek, adware-ek és hasonlók, amelyek a felhasználó gondatlanságát vagy a Windows és a windowsos szoftverek (böngésző, chatprogram, médialejátszó) sebezhetőségét kihasználva csusszannak be az ember számítógépére. A legtöbben egyszerűen le is kémprogramozzák/spyware-ezik őket, ami a köznyelvben vírustól eltérő kártevők elterjedt gyűjtőneve. Ennél pontosabb megfogalmazás a vírustól eltérő kártevőkre (is) vonatkozó malware elnevezés.

Míg a hagyományos vírusok folyamatosan replikálják magukat, és mellette valamilyen káros tevékenységet fejtenek ki, addig a spyware jellemzően arra törekszik, hogy az adatainkat, jelszavainkat szerezze meg, a trójaiak többsége levélszemetet küld, az adware-ek pedig minduntalan hirdetéseket jelenítenek meg a gépen. "Általában nem a károkozás a cél, hanem a gép erőforrásainak minél tovább tartó ki- és felhasználása" - fogalmaz Kádár Attila, a 2F Kft. vírusszakértője. Éppen amiatt, hogy a malware mindezt nyugodtam megtehesse, rendszerint rejtőzködő üzemmódban van jelen a gépünkön, tehát felismerni és kigyomlálni sem valami egyszerű.

Első lépés: a felismerés

Honnan tudjuk tehát, hogy a gépünk "bekapott" valamilyen fertőzést? "Jó kérdés... Manapság leginkább az intuíció révén" - ejt minket kétségbe vírusszakértőnk, a kártevők egyre fejlettebb rejtőzködési készségére utalva. Szerencsére vannak azonban konkrét jelzések is, amelyekre odafigyelhetünk.

  • Alapvető jel a gép lelassulása, a szoftverek kiszámíthatatlan viselkedése, amit a háttérben futó kéretlen szoftverek okoznak azzal, hogy lekötik az operációs rendszer erőforrásait. Ez azonban, mint tudjuk, a Windows esetében nem feltétlenül a fertőzés jele: lehet, hogy csak "elfáradt" az operációs rendszer, esetleg azért, mert nem optimálisak a rendszerbeállítások.
  • Ha rálátunk az ADSL-modemre, akkor árulkodó lehet, ha a forgalmazást jelző lámpácskák indokolatlanul sokat villódznak - mondja Kádár. Elvileg, ha nem csinálunk semmit, akkor annak sem kéne villognia. Ha igen, és hosszú ideig, sűrűn villog, akkor valami a háttérben forgalmaz. Ez persze nem feltétlenül kártevő, lehet, például a Windows Update a háttérben, vagy egyéb programok automatikus frissítései, kommunikációi. Természetesen egy fájlcserélő szoftver használata is folyamatos kommunikációval jár, ezért, ha itt akarjuk elcsípni a kártevőt, minden ilyesmit célszerű leállítani.
  • A fertőzés legbiztosabb jele az, ha megváltozik a webböngészőnk kezdőlapja, vagy böngészés közben folyton kamu biztonsági figyelmeztetések, reklámok ugranak elő - adja a tuti tippet Fehér Tamás, szintén a 2F szakértője. A hasonló rendellenességek akár használhatatlanná is tehetik a böngészőt a reklámoldalak folyamatos megnyitásával, az azokra való átirányítással.
  • Ha online fizetésre is alkalmas hitelkártyát, bankkártyát használunk, akkor árulkodó jel lehet, ha ismeretlen okból kezd csökkenni a rajta tárolt pénz mennyisége, mivel a kémprogramok, vagy az adathalászatra irányuló támadások célpontja a bankkártyaadatok, netbanki információk megszerzése. Ennek egyik módja az, hogy a PC-re fészkeli be magát egy kémprogram, ám ha ilyesmiről értesülünk, természetesen először a kártya letiltása felől célszerű intézkedni. 

Második lépés: a kármentesítés
 
Ha minden elővigyázatosság ellenére vagy éppen annak híján a számítógép mégis megfertőződött, akkor leginkább minél gyorsabban meg kell szabadulnunk a kártevőtől. Ehhez először is meg kell találnunk.

  • Ha a gépünkön van valamilyen kémprogram-mentesítő alkalmazás, vagy kereső, akkor azt frissítsük a legújabb verzióra (ha még nem tettük volna), majd bontsuk a netkapcsolatot (praktikusan akár ki is húzhatjuk a gépből a drótot, vagy kapcsoljuk ki a routert), és szkenneljük vele végig a legalaposabb üzemmódban a PC-t! Ha ráakadtunk a kártevőre, és eltávolítottuk a szoftverrel, indítsuk újra a gépet, és biztos, ami biztos, ismételjük meg a keresést.
  • Ha nincsen spyware elleni szoftverünk, még ilyenkor sem mindig késő telepíteni egyet, és azzal elvégezni a fentebb leírt keresést. (A keresés előtti vírusadatbázis-frissítésre ekkor is szükség lehet.) Ehhez az alábbi szoftvereket tudjuk ajánlani a Szoftverbázis választékából: a-squared free, SpyWare Terminator, a "klasszikus" Ad-Aware, amely alapfelszerelésnek kell számítson minden, netezésre használt számítógépen.
  • Ha online üzemmódban maradva szeretnénk elvégezni egy gyorstesztet és kármentesítést, ahhoz használhatjuk az F-Secure webes alkalmazását. Ez azonban csak Internet Explorer böngészőből használható, bekapcsolt Active X-vezérlővel.
  • Ha biztosra akarunk menni a számítógép megtisztításában, és/vagy a fenti módszerek nem segítenek, akkor "steril" eszközökkel kell hozzányúlnunk. Erre az a legjobb megoldás, ha egy bootolásra alkalmas CD-lemezről indítjuk újra a gépet, és onnan végezzük el a víruskeresést. A fizetős antivírus-szoftverek legtöbbjéhez jár ilyen lemez, de ha nincs ilyenünk, akkor magunk is összeállíthatunk egyet, akár az Ultimate Boot CD for Windows alkalmazással (http://ubcd4win.com). Az UBCD4Win-hez felkínált mentesítő szoftverek képességei viszont limitáltak, figyelmeztet Kádár Attila, és a "tiszta" lemezről való rendszerleírásnak megvan az a hátránya is, hogy a Windows Registryhez így nem férünk hozzá - említi meg másik vírusszakértőnk. Fehér Tamás szerint ezért elsősorban a helyben futtatott programokkal való mentesítéssel célszerű próbálkozni, és csak akkor nyúlni külön CD-hez, ha ez sem segít, illetve ha már akár be sem töltődik a Windows a kártevő miatt.
  • A spyware leszerelésére lehetőség van úgy is, hogy a Windowst egy korábbi, a fertőzést megelőző állapotra állítjuk vissza a beépített rendszervisszaállító funkcióval. Ezt azonban csak akkor használhatjuk, ha biztosan tudjuk, hogy mikor kapta be a gép a kártevőt. Ha nem, akkor inkább kapcsoljuk is ki ezt a funkciót, mivel előfordulhat, hogy a sikeres kármentesítés után később egy fertőzött állapotba hozzuk vissza a gépet.
  • Előfordulhat persze, hogy minden ilyen lehetőséget végigpróbáltunk, de a kártevő még mindig jelen van. Ilyenkor, ha hajlandóak vagyunk/tudunk áldozni rá, fordulhatunk szakemberhez is. Házi szakértőink szerint legalább egy levelet megereszthetünk az aktuális problémával kapcsolatban a biztonsági szoftvereket gyártó cégeknek, hátha a távolból is tudnak segíteni. A bonyolultabb fertőzéseket egy kezdő felhasználó valószínűleg nem tudja maga eltávolítani, mivel ehhez a Windows csökkentett módban történő újraindítására, és némi kézi gyomlálásra is szükség lehet. Ilyenkor választhatunk a hozzáértő szakember, ismerős felkeresése, vagy a rendszer saját kezűleg is elvégezhető újratelepítése között. (Valószínű, hogy ha szakembert keresünk fel, ő sem tud mást javasolni.)

A végső megoldás: a teljes újratelepítés 
 
A PC-s fertőzések elleni tökéletes védelmet az biztosítja, ha leformázzuk a meghajtót, és teljes egészében újratelepítjük a rendszert. Michael Horowitz, a CNet biztonsági szakértője egyenesen azt javasolja, hogy ha például otthoni internetbankolásra és rendszeres ügyintézésre használjuk a gépet, akkor ez az egyetlen üdvözítő út bármilyen kártevő befészkelődése esetén.

  • A rendszer újratelepítését akkor tudjuk a legkönnyebben megvalósítani, ha arról is van biztonsági másolatunk. Ilyet egy olyan alkalmazással készíthetünk, mint például a Norton Ghost: ezzel minden szükséges alkalmazás telepítése és az optimális rendszerbeállítások után kell lementeni egy lemezképet az operációs rendszerről, amit bármikor ugyanolyan állapotába hozhatunk vele vissza. (Ezek után persze lehet, hogy az alkalmazásainkat frissíteni kell a legújabb verzióra.)
  • Ennek hiányában az, hogy a megszokott alkalmazásainkat újra kell telepíteni, talán még a kisebbik baj. A nagyobbik az, hogy a dokumentumaink odavesznek: gondoljunk csak bele, a munkánk során használt fájlok, az iskolába beadandó dolgozatok vagy a családi fotók pótolhatatlanok. Legalább az ilyen, egyedi, máshonnan nem beszerezhető állományokról rendszeresen készítsünk biztonsági mentést! Ezt tárolhatjuk külső meghajtón, vagy CD-n/DVD-n. A teljes lemezmeghajtó optikai adathordozókra való rendszeres kiírására persze nincs lehetőség, de a zene-, film-  vagy játékgyűjteményünket, ami valószínűleg a hely legnagyobb részét elfoglalja, még van esélyünk újra összeszedni.
  • Az adatmentés- és visszaállítás kényszerűségét megúszhatjuk úgy is, ha ugyanazon a winchesteren, de külön partíción tároljuk az operációs rendszer és a fentebb említett dokumentumokat. Ilyenkor, ha csak a rendszert telepítjük újra, a fájljaink érintetlenül megmaradnak a Windowst támadó kártevők fertőzése esetén. Nem győzzük azonban hangsúlyozni: a legbiztosabb módszer a rendszeres adatmentés, hiszen az értékes állományok akár a merevlemez sérülése miatt is odaveszhetnek. A külön partíció használata pedig a hétköznapi munka során is okozhat némi kényelmetlenséget.
  • A rutinosabb felhasználók élhetnek azzal a trükkel is, hogy nem újratelepítik a fertőzött rendszerpartíciót, hanem egy segédprogram segítségével telepítenek mellé egy másikat, és arról indítják újra a rendszert. A fertőzött Windowst ilyenkor akár a "tiszta" rendszerből kiindulva is rendbe lehet hozni, vagy egyszerűen átemelni belőle a szükséges fájlokat, majd megszabadulni tőle (vagyis leformattálni).
  • A kevésbé rutinos felhasználók számára külön partíció vagy biztonsági másolat híján azonban a legegyszerűbb és legbiztosabb megoldás az, ha az állományaikat egy optikai meghajtóról futtatható operációs rendszerrel, egy Live CD-ről bootolva mentegetik el valamilyen adathordozóra (például pendrive-ra), majd úgy telepítik újra a rendszert. Az ilyen adatmentéshez kéznél lehet tartani akár egy Ubuntu Linux CD-t is, mivel az ingyen van, elfér egyetlen korongon, és újabb verziói felismerik a legfontosabb hardvereszközöket. Igaz, ezzel a módszerrel a vírusmentesítést még nem oldottuk meg, de a legfontosabb adatok biztonságba helyezése elvégezhető.

Nulladik lépés: megelőzés és éberség 
 

Forrás: [origo]
Hotbar: nem minden az, aminek látszik

Akár átestünk már egy ragaszkodóbb kártevő eltávolításával járó procedúrán, akár nem, minden bizonnyal szeretnénk elkerülni, hogy kellemetlen helyzetbe kerüljünk. "Megfertőződni nem szégyen, de ha másodszorra is ugyanúgy járunk pórul, akkor érdemes elgondolkodni azon, hogy jobban megismerkedjünk az internet és a számítógép működésével" - vélekedik Fehér Tamás. Mi sem mondhatunk mást: legyünk folyamatosan résen!
 
Ha a számítógépet biztonságban szeretnénk tudni, természetesen elkerülhetetlen valamilyen víruskereső és egyéb internet-biztonsági funkciókkal rendelkező szoftver használata. A jól beállított tűzfal a háttérből az interneten kommunikáló alkalmazásokat blokkolja, a biztonsági szoftverek pedig minden megnyitott alkalmazást, weboldalt vagy állományt figyelnek. (Szerkesztőségünk kedvence a Grisoft által gyártott AVG Anti-Virus Free víruskereső, amely ingyenesen biztosítja a legalapvetőbb funkciókat, fizetős változata pedig mindenféle fenyegetéstől megvéd. A licenc a saját célú használatot engedi meg ingyenesen otthoni felhasználók számára. Ugyanilyen feltételekkel ingyenes az Avast! nevű, magyar víruskereső is.)
 
Ha telepítettünk egy víruskeresőt, akkor rendszeres ellenőrzésekre nincs szükség, csak arra, hogy tartsuk rendben a szoftver adatbázisát: vagyis mindig töltsük le a hozzá érkező frissítéseket, és frissítsük magát a keresőt is mindig a legújabb verzióra, ha kijön belőle új. A háttérben futó szoftver ekkor folyamatos ellenőrzés alatt tartja a gépünket, és szól, ha valami veszélyt érzékel - magunktól nem kell rendszeres ellenőrzést végeznünk az online kártevők miatt.

A tipikus veszélyforrások
 
Jó tudnunk azt is, hogy milyen forrásból fertőződhet meg a gépünk az interneten, amit Fehér Tamás azzal a megállapítással foglal össze: bármi lehet. Néhány tipikus veszélyforrást azért kiemel számunkra. 

  • E-mailben, chatprogramon vagy akár Skype szöveges üzenetben, üdvözlőlapon érkező link, ami fertőzött webhelyre mutat (tipikus Storm Worm módszer).
  • Tudtunkon kívül fertőzött weblapra látogatunk és ott automatikusan felmegy az Internet Explorerre a kártevő. Ez az úgynevezett "drive-by download" (menet közbeni letöltés, ha le akarjuk fordítani) szituáció, milliószámra vannak ilyen lapok a weben. 
  • Rosszindulatú hirdetésre kattintunk egy weblapon, és hamis biztonsági programot töltünk le a gépre (úgynevezett "rogue software"). Ez a fajta csalás a nagy, jó nevű portálokat is fenyegeti, amelyeket előszeretettel hamisítanak meg, illetve törnek fel ilyen céllal. 
  • Olyan ingyenes programot töltünk le, amihez reklámprogramot is mellékeltek, azért ingyenes (úgynevezett ad-supported freeware vagy shareware). Gyakoriak ebben a műfajban a különböző böngészőkhöz készült eszöztárak (toolbar).
  • Fájlcserélő hálózatokon terjedő feltört játékokban és programokban is előfordul rejtett trójai faló, vagy itt is kaphatunk kamu állományt önkibontó tömörített fájl formájában. (Mindig gyanús, ha multimédiás állomány helyett egy .exe töltődik le a gépre.) 
  • Különféle csábító témájú filmklipek megtekintéséhez felajánlott hamis videó-kodeket (valójában trójait) töltünk le. 
  • Hamis, úgynevezett adathalász (phishing) weblapra látogatunk, és esetleg kapunk egy keyloggert is, amely lementi és elküldi szerzőjének, amit begépeltünk. 
  • Rosszakaratú felhasználó telepít helyben veszélyes monitorozó vagy más programot (gyerek, szülő, féltékeny pár stb.). Ez a veszély talán leginkább a vállalatokat fenyegeti, ahonnan adatokat próbál meg kilopni a konkurencia vagy egy hacker. 
  • Talált vagy vásárolt USB-kulcstartók is lehetnek fertőzöttek. Az utóbbi időben több gyártó új flash-meghajtóira kerültek kártékony programok, a rendszerbetörést tervező hackerek pedig előszeretettel "szórnak szét" fertőzött pendrive-okat csaliként.

A hagyományos, hálózaton keresztüli megfertőződés ma már valamivel ritkább, mert a legtöbb modern kártevő trójai szoftver, ami aktív terjesztés nélkül nem terjed. Mint az a fentiekből is látható, rendszerint a felhasználó valamilyen cselekvésére is szükség van a fertőzés begyűjtéséhez, ezért fonos észben tartani a fenti kockázatokat - és készülni a bajra.