Sådan registrerer du skadelig vedvarende skade efter en malwareinfektion

  • At genkende tydelige symptomer (afmatning, fejl, omdirigeringer, deaktivering af antivirus) hjælper med at mistænke skadelig vedvarende virus efter en infektion.
  • Værktøjer som Jobliste, Aktivitetsovervågning og anti-malware-scannere giver dig mulighed for at finde og fjerne mistænkelige processer og opstartspunkter.
  • I tilfælde af dybe infektioner eller rootkits er en ren geninstallation af operativsystemet normalt den sikreste måde at genvinde tilliden til computeren.
  • Opdatering af systemer, brug af avanceret beskyttelse (AV/EDR, firewall, IDPS, SIEM) og udvisning af ekstrem forsigtighed med e-mails og downloads reducerer risikoen for geninfektion drastisk.
Joaquin Romero

16 minutter

hvordan man opdager malware

Du har måske en fornemmelse af, at din computer opfører sig mærkeligt: ​​den tager længere tid om at starte op, blæseren kører konstant, selv når du ikke laver noget, eller du ser meddelelser, der ikke giver mening. Vi tilskriver dette ofte, at computeren er gammel, eller at der er for mange programmer installeret, men det er ofte ikke tilfældet. "Sjældenhed" er sporet af en infektion og af ondsindet vedholdenhed der har sat sig fast i systemet.

Efter en infektion er det største problem ikke kun den oprindelige virus, men alt, der kan forblive kørende i baggrunden: skjulte tjenester, planlagte opgaver, bagdøre… I denne artikel vil vi se nærmere på disse. Sådan opdager du den ondsindede vedvarende virkning efter en infektionHvilke symptomer bør advare os, hvordan undersøger vi dem på Windows og macOS, hvilke værktøjer skal bruges til at rense systemet, og hvilke skridt skal tages for at minimere risikoen for reinfektion.

Hvad er ondsindet vedholdenhed, og hvorfor er det så farligt?

Når vi taler om ondsindet vedholdenhed, henviser vi til alle de mekanismer, som malware bruger til at forblive aktiv efter genstart og for at overleve selv simple oprydningsforsøg. Det er ikke bare en inficeret fil, men en hel række systemændringer: registreringsnøgler, tjenester, drivere, planlagte opgaver, browserændringer og så videre.

Moderne malware dukker ofte op "Pakker", der kombinerer virus, trojanske heste, orme og rootkitsog endda varianter fileløs malwareMange af disse komponenter er installeret på kerneniveau eller som enhedsdrivere, så de er dybt integreret i operativsystemet og camoufleret i registreringsdatabasen og i områder, der ikke er synlige for den gennemsnitlige bruger.

Derudover findes der hele familier af malware, der er designet til at at bedrage brugeren med falske problemer eller falske løsningerDisse omfatter scareware, ransomware og hostelware, som simulerer hardwareskader eller alvorlige infektioner for at narre dig til at betale for et angiveligt rengøringsprogram. Andre varianter omdirigerer din browser til bestemte websteder for at generere indtægter fra besøg eller forvandler din computer til en del af et spam-botnet.

Tydelige tegn på, at der kan være tale om ondsindet vedholdenhed

Selvom intet enkelt symptom er endegyldigt bevis, er det tilrådeligt at mistænke en, når flere tegn begynder at ophobe sig. mulig aktiv og vedvarende infektion i systemet. Disse er de mest almindelige tegn, der er identificeret i forskellige tekniske vejledninger og sikkerhedsproducenters erfaringer:

1. Blokeringer, mærkelige fejl og systemfejl

De berygtede blå skærme i Windows, tilfældige nedbrud, programmer fryser ved åbning, eller gentagne fejlmeddelelser, der ikke var opstået før De er et tegn på, at noget i systemet har ændret sig. Det er ikke altid malware, men hvis det falder sammen med andre symptomer, bør det undersøges.

hvordan man opdager malware
relateret artikel:
Sådan opdager du filløs malware og beskytter din organisation

Det er også mistænkeligt, at Der vises vinduer under opstart, der advarer om, at visse diske eller filer ikke kan tilgås...eller dialogbokse, der angiver, at specifikke programmer ikke kan åbnes uden ændringer. Disse typer problemer kan stamme fra ondsindede drivere og processer, der indlæses meget tidligt i opstartsprocessen.

2. Ekstremt langsomt system uden nogen åbenlys grund

Et af de hyppigste tegn er, at holdet bliver meget langsommere ved opstart, åbning af applikationer eller navigation i systemetselv når du ikke kører noget tungt (spil, videoredigering osv.).

Hvis du bemærker, at din blæserhastighed stiger, at CPU- eller hukommelsesforbruget stiger i Jobliste eller Aktivitetsovervågning, og du alligevel kun har et par normale programmer åbne, er det meget muligt, at en ondsindet proces bruger ressourcer i baggrunden at sende spam, udvinde kryptovalutaer, deltage i DDoS-angreb eller spionere på din aktivitet.

3. Unormal harddiskaktivitet

Når din computer er inaktiv, men du ser harddisk- eller SSD-indikatorlampen blinke konstant, eller du hører den mekaniske disk konstant læse og skrive, kan det være, at Nogle ondsindede komponenter manipulerer filer, genererer logfiler eller krypterer oplysninger uden at du ser det.

Uforklarlig høj diskaktivitet, især lige efter opstart eller når der ikke er nogen opdateringer i gang, betragtes som en klassisk indikator for mulig aktiv infektion.

4. Vinduer, værktøjslinjer og visuelle elementer, som du ikke har installeret

Et andet meget typisk symptom på vedholdenhed er, at yderligere værktøjslinjer vises i browseren, ukendte udvidelser eller endda en anden hjemmeside og søgemaskine, uden at du har ændret dem.

Ligeledes, hvis de begynder at komme ud pop op-vinduer, selv når browseren er lukketHvis du ser meget aggressiv og kontekstløs reklame, er det højst sandsynligt, at du har installeret adware eller malware, der forbliver aktiv, hver gang du tænder din computer.

5. "Mærkelige" beskeder, notifikationer og ændringer i legitime programmer

Malware kan forårsage der vises dialogbokse, der advarer om, at bestemte filer eller programmer ikke kan åbneseller beskeder, der advarer om påståede infektioner fra programmer, du aldrig har installeret.

Det er også et dårligt tegn, at Programmer åbner af sig selv, lukker uden grund eller anmoder om internetadgang uden dit samtykke.Når betroede apps ændrer deres adfærd natten over, sker der normalt noget bag kulisserne.

6. Mistænkelig netværksaktivitet og problemer med din IP-adresse

Hvis din routers trafiklys blinker konstant, når du ikke browser eller downloader noget, er det ret sandsynligt, at en skjult proces kommunikerer med eksterne servere, afsendelse af spam, deltagelse i botnet eller lækage af data.

I mere alvorlige situationer kan du endda modtage advarsler om, at Din IP-adresse er blevet sortlistet. (sortlister eller afvisningslister) på grund af massespam eller ondsindet aktivitet. Dette indikerer normalt, at din computer eller dit netværk bruges til at køre spamkampagner eller automatiserede angreb.

7. Kompromitterede e-mails og onlinekonti

Når dine kontakter begynder at fortælle dig det De modtager mærkelige e-mails, som angiveligt er sendt af dig.Hvis du modtager mistænkelige e-mails med mærkelige links eller vedhæftede filer, du aldrig har sendt, er der to muligheder: din computer er inficeret og sender e-mails uden dit samtykke, eller nogen har stjålet dine loginoplysninger og bruger din konto eksternt. I disse tilfælde anbefales det at gennemgå vejledninger om [det relevante emne]. Sådan registrerer du e-mails med malware eller phishing.

Det er også ret alvorligt, at Dine e-mails sidder fast i udbakkenDu vil muligvis bemærke beskeder, du ikke genkender, i din mappe med sendte elementer, eller mistænkelige logins til din webmail, sociale medier eller netbank. Alt dette tyder på en vedvarende infektion, der er designet til at stjæle dine oplysninger eller loginoplysninger.

8. Mærkelige ændringer i systemindstillinger og manglende filer

Nogle typer malware er dedikeret til at ændre kritiske systemindstillinger, skjule filer eller Tomme menuer som Programmer-menuen i Start-menuen i Windowsså det virker som om alt er fordærvet eller tabt.

hvis pludselig Dokumenter, mapper eller programmer mangler i den primære diskmappeHvis du bemærker, at du ikke kan ændre baggrundsbilledet eller andre skrivebordselementer, har du muligvis at gøre med varianter, der spiller på brugerens frygt for at få dem til at betale for en angivelig "reparation" eller for at tvinge dem til at bruge et bedragerisk program.

9. Deaktivering af antivirus og firewall

Det er ret almindeligt, at malware forsøger at angribe, så snart den er installeret. Deaktiver antivirusprogrammet, bloker dets opdateringer, eller forhindre grænsefladen i at åbne.Hvis din sikkerhedsløsning ser ud til at være slået fra uden din viden, eller hvis ikonet i proceslinjen forsvinder, er det alvorlig bekymring.

Noget lignende sker med firewalls: mange ondsindede koder forsøger Deaktiver operativsystemets firewall eller en tredjeparts firewall. Dette giver mulighed for fri ekstern kommunikation og download af flere komponenter. At se firewallen uforklarligt slået fra er en højrisikoindikator.

10. Andre tegn på usædvanlig systemadfærd

De nuværende trusler er meget varierede, så det er vigtigt at være opmærksom på andre tegn som f.eks. konstante browseromdirigeringer til sider, du ikke har anmodet omPop op-meddelelser, der efterligner operativsystemet for at få dig til at installere mistænkelige "værktøjer", nye skrivebordsikoner, som du ikke kan huske at have downloadet, eller en pludselig manglende evne til at åbne eksekverbare filer (.exe, .msi, .com).

I nogle mere avancerede tilfælde er de installeret Kernel-mode controllere, der vises i Windows Enhedshåndtering som skjulte plug and play-enhederDens funktion er normalt at forstyrre antivirusprogrammer, filtrere trafik eller skjule andre ondsindede processer, for eksempel ved at Mistænkelige DLL'er.

Hvordan registrerer man ondsindede og vedvarende processer i Windows?

trick til at opdage malware

Windows tilbyder adskillige indbyggede værktøjer og avancerede værktøjer til at finde ondsindede processer, der opretholder persistens efter en infektionDet første kontrolpunkt, der er tilgængeligt for enhver bruger, er selve Joblisten.

Brug af Jobliste

For at åbne den kan du højreklikke på Start-knappen og vælge "Jobliste"Eller brug tastaturgenvejen Ctrl + Alt + Delete og vælg den samme indstilling. Når du er inde, skal du gå til fanen "Processer" Du vil se alle kørende applikationer og processer og den procentdel af CPU, hukommelse, disk og netværk, de forbruger.

I denne sammenhæng er det værd at spørge, om Er der et proces- eller programnavn, som du slet ikke genkender?Eller hvis du opdager en, der konsekvent bruger betydeligt flere ressourcer end de andre. Denne type adfærd indikerer ofte både malware og meget aggressiv uønsket software.

Sådan revideres mistænkelige processer uden tredjeparts antivirus
relateret artikel:
Sådan revideres mistænkelige processer uden tredjeparts antivirus

Hvis du er i tvivl om en proces, kan du gøre det Højreklik og åbn "Egenskaber" for at se dens installationssti, digitale signatur og oprettelsesdato. og andre data. Legitime systemprocesser er normalt placeret i standardstier (f.eks. C:\Windows\System32) og signeret af Microsoft eller andre kendte leverandører, mens ondsindede processer har tendens til at gemme sig i midlertidige mapper eller usædvanlige stier.

Hvis du har mistanke om, at noget er galt, kan du søge efter procesnavnet i offentlige databaser, f.eks. File.net eller andre specialiserede arkiversom katalogiserer almindelige Windows-processer og tredjepartsprogrammer og fortæller dig, om de er legitime eller potentielt farlige.

Hvis du identificerer en proces, der tydeligvis opfører sig skadeligt, kan du markere den og vælge "Afslut lektier"Dette kan give dig en pause (for eksempel kan computeren køre mere problemfrit igen), men det er vigtigt at udføre følgende som det næste. fuld scanning med et anti-malware-værktøj at slette ethvert spor, fordi persistens normalt er knyttet til registreringsnøgler, tjenester og planlagte opgaver.

Sikker tilstand og avancerede værktøjer

Når infektionen er mere aggressiv, kan du muligvis ikke engang Åbn dit antivirusprogram, kør .exe-filer, eller opret forbindelse til internettet normalt.I disse tilfælde er det tilrådeligt at genstarte computeren. Fejlsikret tilstand med netværk, som kun indlæser de minimale systemtjenester og ofte forhindrer malware i at aktiveres.

Derfra kan du bruge tekniske værktøjer som f.eks. Process Explorer o Autoruns (fra Microsoft Sysinternals) for Se alle kørende processer og alle systemets automatiske opstartspunkter (opstart, tjenester, planlagte opgaver, shell-udvidelser osv.). De fleste vedvarende infektioner har tendens til at dukke op i disse værktøjer, hvis du kører dem med administratorrettigheder.

Hvis malware har blokeret .exe-udvidelsen fra registreringsdatabasen for at forhindre oprydningsprogrammer i at åbne, er der et nyttigt trick: Omdøb den eksekverbare fil til .com, og prøv at åbne den igen.Hvis det stadig ikke virker, er den mest praktiske løsning normalt at starte i fejlsikret tilstand, prøve scanningerne igen eller overveje en ren geninstallation af operativsystemet.

Sådan identificerer du mistænkelige processer og vedholdenhed i macOS

Det er også muligt at installere dem på Mac baggrundsprocesser, startagenter og loginelementer der holder malwaren aktiv hver gang du tænder din computer. Det første visuelle hint er i menulinjen øverst til højre, hvor ikoner for kørende programmer vises, men mange skadelige programmer viser slet ikke noget ikon.

Det grundlæggende værktøj til forskning er Aktivitetsovervågningsom du kan åbne fra Spotlight eller fra mappen Hjælpeprogrammer. Når du er inde, vil du se en liste over alle aktive processer med deres CPU-, hukommelses-, strøm-, disk- og netværksforbrug.

Hvis du observerer en ukendt proces med et påfaldende højt ressourceforbrug, kan du Vælg det, og tryk på informationsikonet "i" for at se stien til det tilknyttede program, brugeren der kører det og andre detaljer. Ligesom i Windows er mange systemprocesser placeret i standardstier (/System, /usr osv.), mens Malware gemmer sig ofte i brugermapper, midlertidige mapper eller usædvanlige undermapper..

Hvis du støder på en proces, som du finder mistænkelig, kan du prøve at Afslut det fra ikonet med "x" øverstHvis systemets ydeevne forbedres efter at have afsluttet programmet, er det meget sandsynligt, at det har brugt ressourcer unødigt. For at sikre, at det ikke genstarter ved genstart, bør du dog køre en grundig scanning med en macOS-kompatibel sikkerhedsløsning og kontrollere opstartselementer (LaunchAgents, LaunchDaemons, loginelementer).

Når du ikke ser noget tydeligt skadeligt, men computeren stadig ikke fungerer korrekt, giver Aktivitetsovervågning dig mulighed for at kør systemdiagnostik ved hjælp af tandhjulsikonet. Disse tests kan hjælpe med at identificere processer eller tjenester, der forårsager ydeevneproblemer eller usædvanlig adfærd.

Scan systemet med specialiseret anti-malware-software.

Når sporene er indsamlet (symptomer, mistænkelige processer, usædvanlige ændringer osv.), er næste skridt kør en eller flere dybdegående antimalware-scanningerHer er det vigtigt at være klar over to idéer:

På den ene side er der antivirusprogrammer i realtidsom altid overvåger systemet, og on-demand scannereDisse motorer fungerer kun, når du åbner dem og kører scanningen. Ideelt set bør du kun have én realtidsmotor installeret for at undgå konflikter, og lejlighedsvis supplere den med on-demand scanninger fra andre producenter.

Endvidere Intet antivirusprogram registrerer 100% af eksisterende varianterMængden af ​​malware og daglige mutationer gør absolut dækning umulig, så det er ofte en god idé at kombinere værktøjer, hvis du har mistanke om vedvarende virus på din computer.

Anbefalede trin før og under analysen

For at forbedre rengøringsprocessens effektivitet anbefales det at:

  • Afbryd forbindelsen til internettet på din computer Før du starter, skal du afbryde malwarens kommunikation med omverdenen og forhindre den i at downloade nye komponenter.
  • Genstart i sikker tilstand Indlæs kun essentielle tjenester, når det er muligt, hvilket gør det nemmere for analyseværktøjet at fjerne låste filer.
  • Tøm midlertidige filer (ved hjælp af Diskoprydningsværktøjet i Windows eller tilsvarende værktøjer) for at reducere antallet af elementer, der skal kontrolleres, og fjerne downloadede rester, som malwaren muligvis bruger.

Efter disse forberedelser kan du installere og køre en gennemprøvet løsning, f.eks. Malwarebytes eller andre anerkendte værktøjer i branchenDen sædvanlige praksis er at starte med en hurtig analyse, som kontrollerer de mest kritiske områder, og som kan tage fra 5 til 20 minutter, og derefter, hvis der stadig er tvivl, udføre en komplet analyse, som kan tage betydeligt længere tid.

Under scanningen viser værktøjet antallet af analyserede objekter, og hvor mange De betragtes som mistænkelige eller direkte ondsindede.Til sidst genereres der normalt en resultatrapport, hvor du kan se, hvilke filer, registreringsnøgler og opstartselementer der er blevet registreret.

De fleste af disse programmer markerer automatisk det, de anser for farligt, så du kan slet eller sæt alle valgte elementer i karantæne på én gangDet er vigtigt at kontrollere, at alt, hvad du vil slette, virkelig er skadeligt eller unødvendigt, selvom de fleste brugere kan følge det valg, der foreslås af selve værktøjet.

I nogle meget alvorlige tilfælde er malware i stand til at luk eller bloker selve antimalwareprogrammet, mens det scannerDette indikerer, at det er dybt integreret i systemet. I dette scenarie er den sikreste og hurtigste løsning normalt at Sikkerhedskopier dine personlige data, og udfør en ren installation af operativsystemet.fordi det kan tage meget længere tid at insistere på manuel fjernelse og ikke garanterer et perfekt resultat.

Rengøringsmuligheder og hvornår man bør overveje at geninstallere

Når infektionen er blevet opdaget, og analyser er udført med forskellige værktøjer, bør du vurdere I hvilken grad stoler du på, at systemet virkelig er blevet renset?Der er flere mulige veje:

  • Hvis infektionen var relativt simpel (adware, værktøjslinjer, browseromdirigeringer), og analyserne indikerer, at Alle skadelige komponenter er blevet fjernetDu kan sandsynligvis fortsætte med at bruge enheden, efter du har ændret adgangskoder og bekræftet, at alt fungerer korrekt.
  • Hvis de er blevet opdaget rootkits, drivere på kernelniveau eller meget aggressive infektioner der blokerede antivirussoftware, ændrede opstartsprocessen eller genererede flere persistenspunkter, er den professionelle anbefaling normalt at udføre en fuldstændig geninstallation af operativsystemet.
  • Hvis du ikke er tryg ved at bruge disse værktøjer, eller hvis du ikke er sikker på, hvad du skal slette, har du mulighed for at hyre specialiserede tekniske tjenester få dem til at gøre rent for dig, selvom det normalt vil være en betalt service.

Under alle omstændigheder, selvom du vælger at geninstallere, er det afgørende Kør virusscanninger på dine sikkerhedskopierUSB-drev, eksterne harddiske og andre medier, du planlægger at genoprette. Det giver ikke mening at starte fra et rent system, hvis du derefter gendanner filer, der indeholder den samme infektion.

Hvordan minimerer man risikoen for reinfektion?

At opdage og fjerne ondsindet persistens er kun halvdelen af ​​kampen. Den anden halvdel involverer Implementer vaner og sikkerhedsforanstaltninger for at forhindre, at det samme sker igen inden for få dageBlandt de vigtigste praksisser er:

  • vedligeholde operativsystemet og alle opdaterede programmer med de nyeste sikkerhedsrettelser, især browsere, Office-pakker, Java, frameworks og applikationer, der opretter forbindelse til internettet.
  • Brug en realtidsantivirus eller, endnu bedre, mere moderne løsninger som EDR (Endpoint Detection and Response), der tilføjer avancerede funktioner til adfærdsdetektion og hændelsesrespons.
  • Aktivér og konfigurer korrekt firewallså den filtrerer indgående og udgående trafik i henhold til fornuftige regler og forhindrer unødvendige forbindelser fra applikationer, der ikke burde have adgang til netværket.
  • Evaluer implementeringen af Systemer til detektion og forebyggelse af indbrud (IDPS), især i virksomhedsmiljøer, for at identificere angrebsmønstre i realtid og blokere dem.
  • Centraliser sikkerhedslogfiler og hændelser ved hjælp af løsninger SIEM (Security Information and Event Management)som hjælper dig med at korrelere mistænkelig aktivitet på tværs af flere enheder og tjenester.
  • Beskyt følsomme oplysninger ved at datakryptering i hvile og under transportså selv hvis der er et brud, er det meget vanskeligere at udnytte de stjålne oplysninger.
  • Når du arbejder eksternt, skal du bruge en sikker VPN at kryptere trafik mellem din enhed og det interne netværk, hvilket forhindrer kritiske legitimationsoplysninger eller data i at blive opsnappet på upålidelige Wi-Fi-netværk.
  • Udfør med jævne mellemrum penetrationstest og sikkerhedsrevisioner at opdage sårbarheder før angribere, og justere indstillinger og politikker baseret på resultaterne.

Afsluttende overvejelser

I hverdagen er det også tilrådeligt at tage ekstra forholdsregler med mistænkelige e-mails, forkortede links, eksekverbare vedhæftede filer (.exe, .pif, .com, .src…) og software downloadet fra upålidelige kilder. I tvivlstilfælde er det bedre at slette en e-mail eller ikke installere et program end at risikere en ny infektion.

Endelig anbefales det kraftigt efter enhver hændelse Gennemgå aktiviteten på alle dine onlinekonti (bank, e-mail, sociale medier, cloud-tjenester) for at kontrollere for usædvanlig aktivitet, sessioner åbnet fra mistænkelige steder eller ændringer af indstillinger og ændre alle adgangskoder ved hjælp af adgangskodeadministratorer og multifaktorgodkendelse, hvor det er muligt.

Hvad er de bedste antivirusprogrammer til Windows 11?
relateret artikel:
De bedste antivirus- og sikkerhedsværktøjer til Windows 11

Hvis du gør det til en vane at overvåge de beskrevne symptomer, bruge systemværktøjer til at finde usædvanlige processer, stole på pålidelige anti-malware-løsninger og styrke dine sikkerhedsvaner, har du en langt bedre chance for at at opdage enhver ondsindet vedvarende aktivitet efter en infektion og stoppe dens aktivitet. før det virkelig kompromitterer dine data og enheder. Del informationen, så flere mennesker kender til emnet.