Technická certifikace v3 Studijní materiál k produktu ESET Smart Security v4, ESET NOD32 Antivirus v4

Transkript

1 Technická certifikace v3 Studijní materiál k produktu ESET Smart Security v4, ESET NOD32 Antivirus v4 OBECNÉ VLASTNOSTI PRODUKTŮ ESET... 3 ThreatSense Technology... 3 Technologie Antistealth... 3 Technologie ThreatSense.Net... 3 SelfDefense... 4 ESET SMART SECURITY... 5 INSTALACE... 5 Instalace s předdefinovanou konfigurací:... 5 PROCESY V PAMĚTI... 5 OVLÁDACÍ ROZHRANÍ... 6 STAV OCHRANY... 6 Sledování aktivity... 6 Síťová spojení... 6 Statistiky... 6 ANTIVIRUS + ANTISPYWARE... 7 NASTAVENÍ PARAMETRŮ SKENOVACÍHO JÁDRA THREATSENSE... 7 Léčení... 7 Omezení... 8 REZIDENTNÍ ON-ACCESS MODULY... 8 Rezidentní ochrana souborového systému... 8 Ochrana dokumentů... 8 Ochrana poštovních klientů... 9 Ochrana přístupu na web... 9 KONTROLA POČÍTAČE ON-DEMAND SCAN... 9 KONTROLA SOUBORŮ ZAVÁDĚNÝCH PŘI STARTU POČÍTAČE DALŠÍ MOŽNOSTI A NASTAVENÍ ANTIVIROVÉ OCHRANY Výjimky ze skenování Kontrola šifrované komunikace PERSONÁLNÍ FIREWALL ZÓNY PRAVIDLA REŽIMY INTEGRACE FIREWALLU DO SYSTÉMU ANTISPAM NÁSTROJE MODIFIKOVÁNÍ UŽIVATELSKÉHO ROZHRANÍ DALŠÍ VLASTNOSTI A FUNKCE ESET SYSRESCUE ESET COMMAND LINE SCANNER

2 KLASIFIKACE INFILTRACÍ

3 OBECNÉ VLASTNOSTI PRODUKTŮ ESET ThreatSense Technology: ThreatSense je název pro skenovací motor všech produktů ESET. Jeho úlohou je detekce a elimininace malware (mazání a léčení souborů, v některých případech odstraňovaní záznamů z registru Windows). Technologie ThreatSense používá k detekci infiltrací v principu čtyři druhy metod. Virové signatury = Exaktní detekce klasická ochrana, vzorky na konkrétní infiltrace Generické signatury = Generická detekce vzorky detekující celé rodiny infiltrací Analýza kódu = Heuristika pasivní analýza kódu, srovnávání s existujícími vzorky označuje infiltrace názvem varianta infiltrace XY, nebo pravděpodobně varianta infiltrace XY Emulace = Rozšířená heuristická analýza pokročilá úroveň detekce zajišťující detekci dosud neznámých infiltrací dochází ke spuštění (emulaci) kódu a sledování aktivity > v případě zjištění nekalé aktivity dochází k označení souboru jako pravděpodobně neznámý NewHeur_PE virus ThreatSense, tedy virové signatury i ostatní součásti se aktualizují i v rámci běžné virové aktualizace. (Oznam Programové moduly byly aktualizovány v pravém dolním rohu.) Technologie Antistealth Vylepšuje detekci rootkitů. Rootkity jsou speciální aplikace, které se dokážou skrýt v systému a není možné je odhalit běžnými metodami. Antistealth operuje s vlastním ovladačem pro čtení z disku, který dokáže skryté soubory a procesy odhalit. Technologie je automaticky využívána moduly, které ji vyžadují, tedy: On-demand scanner (Kontrola počítače) Kontrola souborů spouštěných po startu (přednastavená úloha, viz Nástroje > Plánovač) Antistealth je také implementován do nástroje ESET SysInspector. Technologie ThreatSense.Net navazuje na ThreatSense systém zasílání podezřelých souborů k analýze (systém hashování pošle se jen to, co ještě nemáme ) zasílání statistických informací službu využívá okolo 20 miliónů uživatelů 3

4 výsledky nejsou prozatím veřejné => využíváno především pro zajištění detekce dosud neznámé havěti SelfDefense SelfDefense je obranný mechanizmus produktů ESET (ESET Smart Security a ESET NOD32 Antivirus). Jde o ochranu klíčových součástí programu - procesů a větev v registru Windows - před modifikací škodlivým softwarem. 4

5 ESET SMART SECURITY INSTALACE Distribuce v.msi balíčku. Existuje řada parametrů, kterými lze průběh instalace ovlivnit. Tyto parametry lze použít během přímé instalace i v případě vzdálené instalace. (Pak jsou tyto parametry určeny předem během tvorby instalačních balíčků a během instalace jsou na stanici vnuceny automaticky.) /qn Tichý režim instalace bez zobrazení dialogových oken. /qb! Uživatel nemá možnost instalaci ovlivnit, avšak její průběh je znázorněn "progressbarem" (stav instalace v %). REBOOT="ReallySuppress" Zakáže restart PC po dokončení instalace. REBOOT="Force" Vynutí restart PC po dokončení instalace. REBOOTPROMPT ="" Na provedení restartu po dokončení instalace se dotáže (nemůže být použito dohromady s /qn). ADMINCFG= cesta_k_xml_souboru Při instalaci bude použito XML nastavení řešení ESET z definovaného souboru. Instalace s předdefinovanou konfigurací: Do adresáře se staženým MSI balíčkem zkopírujeme XML konfiguraci z konfiguračního editoru ESET pod názvem cfg.xml. Při zahájení instalace (spuštění MSI balíčku) bude automaticky převzato nastavení z cfg.xml. V případě, že by se konfigurační XML jmenoval odlišně, popř. byl umístěn v jiné složce, lze použít parametr ADMINCFG= cesta_k_xml_souboru. PROCESY V PAMĚTI Po instalaci běží procesy: ekrn.exe jádro programu, zabezpečuje jeho chod a také např. aktualizaci, on-demand skenování egui.exe grafická nadstavba, ovládací rozhraní Přes příkazový řádek lze spustit i proces ecls.exe command line scanner. Viz samostatná kapitola. 5

6 OVLÁDACÍ ROZHRANÍ Uživatel má možnost zvolit si dva režimy zobrazení. Standardně se po instalaci aktivuje Jednoduchý režim, který nabízí základní možnosti nastavení. Další parametry jsou k dispozici po přepnutí (v levém dolním rohu rozhraní) na Rozšířený režim, vhodný pro pokročilé uživatele. Kompletní pokročilé nastavení lze zobrazit stlačením klávesy F5 zobrazí se parametry programu seřazené do stromové struktury. Centrální řešení hlavních problémů v menu STAV OCHRANY /chyby spouštění modulu ochrany, nefunkční aktualizace/ V případě problémů, nebo neodborného zásahu uživatele ikona stavu ochrany a také ikona v system tray změní barvu, zobrazí se bublinová nápověda a program nabídne řešení: červená zásadní problém, například nefunkční firewall oranžová menší problém /např. vypnutí Ochrany poštovních klientů pošty/ STAV OCHRANY Sledování aktivity Tato část rozhraní umožňuje sledovat: Aktivitu souborového systému (počet objektů oskenovaných za jednotku času) Síťovou aktivitu (množství dat přenášených po síti) Síťová spojení Zobrazení aktuálních síťových spojení (navázaných, nebo čekajících na navázání). Kontextové menu nabízí volby blokování/povolování spojení, tvorbu pravidel firewallu. Statistiky Údaje o činnosti jednotlivých modulů, počty oskenovaných souborů, atd. V statistikách Antivirové a antispywarové ochrany se nachází údaj Kontrolovaný objekt umožňuje vystopovat případný zdroj vytížení CPU procesem ekrn.exe. 6

7 ANTIVIRUS + ANTISPYWARE Antivirová a antispywarová ochrana používá několik mechanismů (modulů) pro zabezpečení ochrany vůči malware. Položky označené ikonou jsou Rezidentní (on-access) moduly, Kontrola počítače je modul na vyžádání (on-demand). Následující kapitola pojednává obecně o nastavení skenovacího enginu pro všechny moduly, a za ní následuje popis jednotlivých modulů antivirové a antispywarové ochrany. NASTAVENÍ PARAMETRŮ SKENOVACÍHO JÁDRA THREATSENSE Nastavení skenovacího enginu ThreatSense je specifické v závislosti od požadavků pro každý modul. Modifikace lze provést v Detailním nastaveni (F5) > > Nastavení parametrů skenovacího jádra ThreatSense > Nastavit v sekci daného modulu. Podrobnější popis si zaslouží sekce Léčení a Omezení. Léčení Tato sekce nastavení ThreatSense definuje, jakým způsobem se bude antivir chovat vůči napadeným souborům. Tři úrovně léčení: Neléčit žádná akce. Když se objeví infiltrace, užívateli jsou nabídnuty dostupné možnosti /léčení, smazání/. V případě on-demand skenu - Kontrola počítače se jenom vytváří protokol o infiltracích. Střední (Standardní) úroveň automaticky léčí/maže infikované soubory. Varovné okno se zobrazí jen v případě, kdy program nedokáže vybrat správnou akci, případně když předvolená akce selže. Přísné léčení automaticky léčí/maže infikované soubory vyjma systémových souborů, pokud je nelze léčit (pak nabídne akci). Při detekci infiltrace v archivním souboru bude při standardním a přísném léčení smazán celý archiv. Při standardním léčení bude archivní soubor smazán pouze tehdy, pokud obsahuje pouze 7

8 soubor s infiltrací. Při přísném léčení bude soubor smazán i v případě, že obsahuje další, korektní soubory. Omezení Sekce nastavení ThreatSense > Omezení umožňuje nastavit limity pro: Maximální velikost skenovaných objektů Maximální počet skenovaných úrovní u archivů REZIDENTNÍ ON-ACCESS MODULY Kontrola v reálném čase (on-access) je rozdělena do čtyř částí: Rezidentní ochrana souborového systému Kontroluje veškeré dění v počítači. Všechny soubory, které jsou v počítači otevírány, vytvářeny nebo spouštěny, jsou kontrolovány na přítomnost infiltrace. Rezidentní ochrana se spouští při spuštění operačního systému. Pro maximalizaci výkonu a také pro omezení zatížení systému se volba rozšířené heuristiky používá jen pro nově vytvořené soubory. Nedoporučujeme její aktivaci pro skenování všech souborů. Mohlo by to znamenat výrazný nárůst vytížení CPU. Některé aplikace (typicky databáze, účetnictví, backup řešení), mohou také způsobit zpomalení - typicky když dochází k extrémně častému vytváření nových nebo přepisování existujících souborů. Jestli tato situace nastane, doporučujeme nastavit výjimky na adresáře, kde tyto aplikace operují. Viz sekce Výjimky ze skenování níže. Ochrana dokumentů Modul spolupracující s dokumenty Microsoft Office 2000 a vyššími. MS Office využívá rozhraní Microsoft Antivirus API, které umožňuje antivirovým programům oskenovat dokumenty před jejich spuštěním. Tento modul kontroluje také objekty v automatickém downloadu Internet Explorer, jako například prvky Microsoft ActiveX (protože tyto objekty také využívají Microsoft Antivirus API). 8

9 Ochrana poštovních klientů Ochrana pošty funguje na dvou úrovních: Na úrovni poštovních klientů (MS Outlook, Outlook Express, Windows Mail, Windows Live Mail, Mozilla Thunderbird). Jde o speciální pluginy, které se aktivují automaticky v případě, že uživatel některý z těchto programů používá. V daném poštovním klientovi jsou ve výsledku kontrolovány protokoly POP3, MAPI, IMAP, HTTP) Na úrovni protokolu POP3 a POP3S Je kontrolována veškerá pošta na daných protokolech bez ohledu na poštovního klienta (transparentně). Mimo to poskytuje modul Ochrany poštovních klientů možnost přidávat upozornění do zpráv a textovou šablonu do předmětu infikovaných zpráv. Ochrana přístupu na web Tento modul kontroluje obsah dat přenášených přes HTTP (a HTTPS) protokol. Vede si dynamický seznam aplikací - prohlížečů, které tento protokol využívají. Největší praktický význam má podsekce Detailní Nastavení > Ochrana přístupu na web > HTTP, HTTPS > Nastavení adres. Tady lze zařadit adresy do seznamů Povolených adres Blokovaných adres Vyloučených adres (přenášená data se neskenují) Jestli je požadavek na striktní omezení, lze definovat adresy v seznamu Povolených adres a pak vybrat volbu Povolit přístup jenom na HTTP adresy zařazené do seznamů povolených adres. KONTROLA POČÍTAČE ON-DEMAND SCAN Doposud jsme pojednávali o on-access, tedy rezidentních modulech. Kontrola počítače je modulem na vyžádání, tedy on-demand. Znamená to, že kontrolu musí spustit sám uživatel manuálně, anebo musí nastavit její spuštění přes Nástroje > Plánovač. Modul nabízí dva režimy spuštění: Smart kontrola kontrola se spustí automaticky s přednastavenými parametry Volitelná kontrola možnost nastavení parametrů a vytváření/ukládání vlastních profilů kontroly (které je pak možné volat pomocí Plánovače). Jestli nebylo možné na některých souborech během skenování vykonat akci (Léčení, Mazání), anebo je aktivní úroveň Neléčit, tak po skončení kontroly se zobrazí okno hromadné akce: Možnost přesunu kontroly na pozadí a spuštění dalších souběžných kontrol. 9

10 KONTROLA SOUBORŮ ZAVÁDĚNÝCH PŘI STARTU POČÍTAČE Mnohé infiltrace se dokážou vetřít do sady aplikací, které se v systému spouštějí automaticky po startu systému, resp. po přihlášení uživatele. Aby došlo k jejich okamžité eliminaci, Antivirus a antispyware automaticky kontroluje tuto sadu souborů, a to: Po přihlášení uživatele na počítač Po každé úspěšné aktualizaci virové databáze Jde o plánované úlohy v rámci Plánovače (Nástroje > Plánovač). Nastavení ThreatSense pro Kontrolu souborů zaváděných po startu lze ovlivnit v Detailním nastavení (F5) > Antivirus a antispyware > Nastavit, nicméně doporučujeme nemodifikovat přednastavené hodnoty. DALŠÍ MOŽNOSTI A NASTAVENÍ ANTIVIROVÉ OCHRANY Výjimky ze skenování V některých případech doporučujeme nastavit výjimky ze skenování (viz např. Rezidentní ochrana souborového systému). Detailní nastavení (F5) > Antivirus a antispyware > Výjimky umožňuje nastavit výjimky na konkrétní soubory a adresáře. Druhým typem výjimek jsou výjimky na konkrétní souborové přípony. Ty se dají nastavit pro každý modul v Detailním nastaveni (F5) > > Nastavení parametrů skenovacího jádra ThreatSense > Nastavit > Přípony Kontrola šifrované komunikace Filtrování šifrované komunikace na protokolech HTTPS a POP3S je možné aktivovat v Detailním nastavení (F5) > Antivirus a antispyware > Filtrování protokolů > SSL. Do poštovního klienta/prohlížeče je importován kořenový certifikát společnosti ESET. Ten pak slouží na ověřování platnosti certifikátů využívaných během POP3S a HTTPS komunikací. 10

11 PERSONÁLNÍ FIREWALL Personální firewall ESET Smart Security zabezpečuje kontrolu spojení mezi počítačem a sítí. Mezi jeho základní funkce patří: 1. Filtrování komunikace Na základě definovaných pravidel dochází k filtrování komunikace (blokování, povolování). 2. Kontrola různých typů síťových útoků Neboli IDS funkcionalita (Intrusion Detection System) 3. Monitorování změn aplikací Personální firewall sleduje aplikace, které komunikují v síti. Změna totiž může znamenat napadení infiltrací. Firewall proto vyžaduje od uživatele při každé změně potvrzení. U aplikací, které se často aktualizují a u kterých nehrozí napadení lze nastavit výjimky. 4. Transparentní kontrola HTTP / POP3 V spoluprácí s antivirem zabezpečuje kontrolu protokolů. ZÓNY Po připojení PC do nové sítě se firewall ptá na režim ochrany. Nabízí tyto dvě možnosti: Umožnit sdílení = zařazení do Důvěryhodné zóny obvykle síť (identifikovaná IP a maskou), které důvěřuji (moje firemní / domácí síť) méně přísná pravidla ostatní uživatelé v síti uvidí sdílené složky a tiskárny Přísná ochrana = zařazení do nedůvěryhodné zóny PC je v dané síti neviditelný Firewall si pak drží seznam důvěryhodných zón. PRAVIDLA Určují podmínky pro filtrování komunikací do a ven z počítače. Obecně se dělí na dvě skupiny: 11

12 Interní (předdefinovaná) šedé pozadí Uživatelská bílé pozadí Jejich použití závisí od aktuálně nastaveného režimu filtrování. Seznam používaných pravidel lze nalézt v Detailním nastavení (F5) > Personální firewall > Pravidla a zóny > Editor pravidel a zón > Nastavit a je možné je zobrazit setříděné podle aplikací, anebo v detailním zobrazení viz obrázek: Při aplikování pravidel nerozhoduje pořadí v seznamu. Vždy se totiž aplikují jen pravidla, které se daných komunikace týkají. Specifická pravidla mají přednost před obecnými pravidly, tedy v případě, že se na komunikaci vztahují dvě pravidla, aplikuje se jenom to víc specifické. Příklad: 1. Pravidlo: Povolit příchozí komunikaci pro aplikaci VNC 2. Pravidlo: Blokovat příchozí komunikaci Ve výsledku je tedy zakázána jakákoliv příchozí komunikace kromě komunikace VNC nástroje. REŽIMY Režimy personálního firewallu určují způsob, jakým firewall používá pravidla a do jaké míry je možná/vyžadována spolupráce uživatele. K dispozici je pět režimů: (Detailní nastavení (F5) > Personální firewall) 1. Automatický: Blokována veškerá příchozí komunikace s výjimkou komunikace inicializované zevnitř. Povolena veškerá odchozí komunikace. Není nutný zásah uživatele, není však možné definovat vlastní pravidla (používají se jenom interní). 2. Automatický s výjimkami Chování je stejné jako u Automatického režimu s tím rozdílem, že uživatel má možnost přidávat vlastní pravidla. 3. Interaktivní Komunikace dle definovaných pravidel. Aplikují se interní pravidla a zároveň uživatel definuje vlastní pravidla pro nainstalované aplikace. Komunikace, k níž neexistuje pravidlo => dotaz uživateli 12

13 Zapamatovat si akci (vytvořit pravidlo) vytvoří se obecné pravidlo Zapamatovat akci pro tento proces (nevytvoří se pravidlo) - akce se naváže na PID (process ID) dané komunikace dočasná akce Zobrazit nastavení: specifikace portů, IP adres, rozsahů; tvorba vlastního pravidla 4. Administrátorský Komunikace dle definovaných pravidel, interních a uživatelských. Rozdíl oproti interaktivnímu režimu je v tom, že neznámá komunikace (která není definována pravidlem) je automaticky zablokována bez dotazu na uživatele. Administrátorský režim je vhodný pro sítě, kde je požadavek na striktní kontrolu komunikace. 5. Učící režim Speciální režim vhodný pro počáteční konfiguraci pravidel. Personální firewall nefiltruje komunikace, jenom automaticky zaznamenává pravidla (povolující) na základe navázaných spojení. Následně se doporučuje přepnout do jiného režimu (interaktivního/administrátorského). INTEGRACE FIREWALLU DO SYSTÉMU Sekce Detailní nastavení (F5) > Personální firewall > Integrace do systému určuje, do jaké míry bude personální firewall aktivní v operačním systému. Standardně je zapnuta volba 1. Všechny časti aktivní = firewall je plně funkční Ostatní možnosti dovolují míru integrace snížit, případně firewall úplně odregistrovat ze systému: 2. Personální firewall je vypnut firewall je integrovaný, ale nevykonává kontrolu 3. Pouze kontrola aplikačních protokolů integrují se jenom součásti odpovědné za kontrolu HTTP/POP3 4. Personální firewall je zcela vypnut všechny součásti firewallu jsou odebrány, včetně těch odpovědných za kontrolu HTTP/POP3 13

14 ANTISPAM Personální antispam ESET Smart Security funguje jako plugin do poštovních klientů: MS Outlook Outlook Express Windows Mail Windows Live Mail Mozilla Thunderbird Do kontextového menu se integrují volby, kterými může uživatel ovlivnit chování antispamu. V záhlaví poštovního programu se objeví toolbar: Spamové správy se standardně označí řetězcem [SPAM] v předmětu správy. Uživatel má možnost ovlivnit chování následujícími nástroji: Bayesiánský filtr (=reklasifikování sprav SPAM > NE SPAM a naopak) Seznam důvěryhodných adres (Whitelist) Seznam spamových adres (Blacklist) Samotný antispam obsahuje interní pravidla, které se pravidelně aktualizují souběžně s aktualizací virové databáze. Nicméně jelikož technicky není vhodné, aby se všechny spamové signatury stahovaly do lokálního počítače, probíhá v momentě stažení zprávy také online kontrola (tzv. NetCheck) vůči internetovým serverům, které obsahují také nejaktuálnější signatury. Ve výsledku je proces antispamové kontroly následující: 1. zpráva je po stažení konfrontována s uživatelskými (Bayes, Whitelist, Blacklist) a systémovými filtry (interní pravidla) 2. kontrola vůči Internetovým serverům NetCheck 3. doručení zprávy do cílové složky 14

15 NÁSTROJE Sekce Nástrojů poskytuje doplňující moduly, které hlavně zkušeným uživatelům umožňuje pokročilou manipulaci s programem. Dostupné v rozšířeném režimu zobrazení. Protokoly zaznamenávaní důležité informace o chodu systému. Všechny protokoly je možné z kontextového menu exportovat do XML nebo TXT. Dostupné protokoly: Zachycené infiltrace (infiltrace zachycené rezidentními moduly Události systémové události a chyby Kontrola počítače protokol on-demand scanneru Protokol personálního firewallu Karanténa skladuje objekty, na kterých antivirová ochrana vykonala nějakou akci (smazání, léčení), nebo které nebylo možné léčit. Objekty se uloží v šifrované podobě, tedy není možné je přímo spustit. Naopak v případě falešného poplachu je možné soubory obnovit z kontextové nabídky. Plánovač obsahuje úlohy vykonávané systémem. Standardně jde o úlohy pro aktualizaci každých 60 minut, a o úlohy pro kontrolu souborů zaváděných po startu. Uživatel má možnost přidávat další úlohy; dostupné typy jsou: Aktualizace Kontrola počítače Kontrola souborů zaváděných při startu Spuštění externí aplikace SysInspector nástroj pro diagnostiku systému. Umožňuje zkušeným uživatelům zjistit případné problémy se zavirováním, s funkčností produktů ESET, nebo odhalit případné problémy s kompatibilitou. SysInspector má databázi položek, které zná a dokáže je pomocí filtru odlišit od neznámých, případně od procesů patřících infiltracím. 15

16 MODIFIKOVÁNÍ UŽIVATELSKÉHO ROZHRANÍ Některé vlastnosti uživatelského rozhraní již byly popsány výše. Pokročilejší možnosti se nacházejí v Detailním nastavení (F5) > Uživatelské rozhraní. Uživatelské rozhraní > Grafické rozhraní Určuje, jestli se bude používat standardní grafické rozhraní. Vypnutím této volby se aktivuje negrafický režim, vhodný pro zrakově postižené. Uživatelské rozhraní > Zobrazit úvodní obrázek při startu Umožňuje vypnout úvodního obrázku, neboli splash-screen programu. Uživatelské rozhraní > Zobrazit menu Definuje, jestli se zobrazí menu vpravo nahoru (viz obrázek). Uživatelské rozhraní > Upozornění a události Zde lze přizpůsobit zobrazování/skrývání virových a jiných upozornění požadavkům uživatele. Uživatelské rozhraní > Přístup k nastavení Tady lze nastavit heslo pro přístup do nastavení. Je vyžadováno i pro některé důležité zásahy (např. Vytvoření pravidla v personálním firewallu) a celkovou odinstalaci programu. Dialog pro zadání hesla (Potvrzení hesla): 16

17 DALŠÍ VLASTNOSTI A FUNKCE Nastavení > Import/Export Nastavení používá se XML formát, který lze použít i ve vzdálené správě ERA Odeslání dotazu na technickou podporu přímo z programu v sekci Nápověda a podpora > Otázka na technickou podporu... (automatické přiložení podkladů: protokoly, protokol z ESET SysInspectoru...) Možnost odesílaní Detailní nastavení > Nástroje > Upozornění a událostí pomocí SMTP nebo Windows Messenger Detailní nastavení (F5) > Uživatelské rozhraní > Přístup k nastavení - ochrana nastavení heslem ochrana před změnou parametrů. Heslo je vyžadováno i pro odinstalaci ESET SYSRESCUE Nástroje > Vytvořit záchranné CD Nástroj na vytvoření záchranného bootovacího média CD, DVD, USB. Médium bude obsahovat ESET Smart Security s funkcemi potřebnými pro záchranu systému. Výhodou je, že program bude fungovat nezávisle na operačním systému a proto bude schopen odstranit infiltrace, které by nebylo možné odstranit za běhu OS. Podmínkou pro vytvoření média je OS Vista a přítomnost komponenty Windows AIK (Automated Installation Kit), kterou lze volně stáhnout ze stránek společnosti Microsoft. Vytvořené médium lze pak použít i na jiných operačních systémech. ESET COMMAND LINE SCANNER ESET Command line scanner, neboli ecls.exe je možné spouštět antivirovou a antispywarovou kontrolu z příkazového řádku. Manuál a Nápověda obsahují kompletní seznam parametrů. Ecls.exe se také zpustí v případě, že uživatel v Nouzovém režimu Windows spustí program, například přes START > Programy > ESET > ESET Smart Security > ESET Smart Security. (ESET Smart Security ani ESET NOD32 Antivirus se v Nouzovém režimu nespouští, lze spustit jedině ecls). 17

18 KLASIFIKACE INFILTRACÍ Existuje několik druhů infiltrací, jejíž názvy jsou obvykle všeobecně známé. Liší se svou povahou a činností. Infiltrace bývají označovány společným názvem malware. VIRUS je program, který připojuje svou kopii ke spustitelným objektům a zabezpečí i její aktivaci. Viry můžeme rozdělovat například podle toho, jaké typy spustitelných objektů napadají. Souborové viry napadají spustitelné programy, tj. programy s příponami exe a com. Boot viry napadají zaváděcí sektor disku ( boot sector, případně master boot record ), ze kterého se zavádí operační systém. Makroviry napadají dokumenty, do kterých je možné vkládat proveditelné příkazy (tzv. makra ), například doc a xls. Další dělení je podle způsobu vykonání škodlivé činnosti. Viry přímé akce vykonají svou aktivitu v okamžiku spuštění zavirovaného objektu. Rezidentní viry zůstanou v paměti počítače a čekají na vhodnou událost, aby se aktivizovaly. Retroviry se pokoušejí znemožnit činnost antivirového programu. WORM je program se škodlivým kódem, který napadá hostitelský počítač a přes síť se šíří dál. Někdy se tímto pojmem označuje škodlivý program šířící se mailem. Červ se na jiné počítače rozšiřuje aktivně, kopírováním na lokální síti nebo využitím internetové komunikace ( ). Díky rozšířenosti Internetu a poštovních programů se dnes červ dokáže rozšířit doslova po celém světě za několik hodin. TROJSKÝ KŮŇ je program, který kromě svojí zřejmé funkce obsahuje i škodlivou funkci, o jehož existenci uživatel neví. Častou vedlejší funkcí elektronických trojských koní je umožnit autorovi programu neomezený přístup k počítači s nainstalovaným programem. Podobnou funkci jako trojský kůň má BACKDOOR ( zadní vrátka ) aplikace typu klient-server, jehož hlavním úkolem je umožnit autorovi neomezený přístup k počítači. Tyto programy obvykle instalují útočníci z Internetu po úspěšném proniknutí do systému anebo odcházející zaměstnanci. DIALER je počítačový program, který utváří připojení k Internetu nebo k jiné počítačové síti přes analogový telefon nebo ISDN. V současnosti termín dialer odpovídá hlavně takovému programu, který tuto činnost vykonává bez vědomí uživatele čímž vzniká uživateli finanční újma. SPYWARE: program, který odesílá bez vědomí uživatele statistické informace (ty mohou být nejdříve zneužity). ADWARE je program, který po dobu prohlížení internetových stránek zobrazuje reklamy (obvykle v pop-up oknech). ROOTKIT je program, který se snaží zamaskovat vlastní přítomnost v PC. Po zabezpečení přístupu do systému může vzdálený útočník nepozorovaně získat plnou kontrolu nad systémem. Výzkumem počítačových infiltrací s účelem zesílit obranu vůči útokům se zabývá společnost EICAR (European Institute for Computer Antivirus Research). Organizace vznikla v roku Jejím cílem je taktéž napomáhat rychlejšímu rozvoji antivirového softwaru. Organizace je známá hlavně díky testovacímu souboru se stejným názvem Eicar. Je to spustitelný řetězec, kterým se testuje funkčnost antivirových systémů. Soubor sám o sobě neobsahuje škodlivý kód. Odstranění infiltrace v MBR sektoru Infiltrace napadající MBR sektor se dají odstranit přepsáním MBR. 1. Spusťte počítač ze spouštěcího média operačního systému Windows. 2. Zvolte Konzolu pro zotavení. 3. Použijte příkaz fixmbr pro přepsání spouštěcího záznamu. Je potřeba fixnout všechny disky, poněvadž infiltrace se dokáže šířit přes napadené MBR sektory. Seznam disků je možné zobrazit příkazem map. 18