Vírusírtás, újratelepítés, adatvisszaállítás laptop, notebook, netbook és PC készülékek esetén

  • Vírusfertőzés esetleg kémprogram férkőzött be laptop, notebook, netbook vagy PC készülékébe?Vírusírtás, újratelepítés, adatvisszaállítás
  • Vészesen lelassult a számítógépe, laptopja? ( vírus, kémprogram, féreg, spy támadás )
  • Eltűnt a teljes adattároló tartalma? ( laptop, notebook, netbook vagy PC számítógép készülék )
  • Áramszünet után nem találja adatait?
  • Folyadék érte a gépet, ráömlött az ital? ( laptop, notebook, netbook vagy PC készülék )
  • Leeset, beütődött?
  • Túláram, villámcsapás érte, megégett az elektronika? ( laptop, notebook, netbook vagy PC készülék )
  • File-ok, adatok törlődtek a számítógépéről, laptopjáról?
  • Kattog, kerreg a hdd?
  • Elfelejtette a jelszót és nem tud belépni a Windows-ba?
  • Firmware probléma? ( laptop, notebook, netbook vagy PC készülék )

Vírusvédelem, kémprogram védelem, kéretlen levelek (spam) védelem


Vírusoktól és egyéb kártékony programoktól, kéretlen levelektől mentes környezet kialakítása a munkaállomásokon és a hálózaton, valamint szerver oldali szűrések alkalmazása.

 

Tűzfalak, betörésvédelem


Internetes eléréssel rendelkező számítógépek, szerverek betörés védelmi rendszerének tervezése, megvalósítása, helyi hálózatok védelme a külső és belső illetéktelen behatolási kísérletek ellen, egyéb tűzfalmegoldások.

 

Adattitkosítás


Az adatok kulccsal illetve kulcsszavakkal történő védelme erős titkosítási algoritmusok használatával. Alkalmazásával az adathordozó (pl.: laptop, usb drive, DVD, CD, stb.) elvesztése, illetve eltulajdonítása esetén az adatok nem kerülnek illetéktelen kezekbe, valamint biztosítja, hogy bizalmas adatokhoz, levelezésekhez csak a megfelelő személy férhessen hozzá.

Személyes ajánlatért és további információkért kérjük keresse munkatársainkat.

 

Vírusok fertőzési lehetőségei - vírusirtás - adathelyreállítás


File vírusok

Sok hozzá nem értő felhasználó azt hiszi, hogy csak file-okat fertőző vírusok léteznek. Ezek a vírusok nagy hagyományokkal rendelkeznek, s ezek a legelterjedtebbek, ezekből van a legtöbb. Kezdetben csak COM file-okat fertőztek, de gyorsan kialakultak az EXE file-okat fertőzők is. Két alfajtája létezik, az egyik egyszerűen felülírja az eredeti programot (nagyon egyszerű észrevenni a fertőzés tényét, hiszen sorra válnak működésképtelenné a programjaink), a másik intelligensebb, a program végéhez fűzi hozzá magát, s a file elejét módosítja található utasításokat módosítja úgy, hogy indításkor őrá kerüljön a vezérlés. Miután lefutott, a valódi programra irányítja a végrehajtást, mely aztán lefut, mintha nem is lenne fertőzött.

 

E vírusok ellen a legnehezebb védekezni, ugyanis a legújabbak már erős lopakodási technikákat és polimorfizmust alkalmaznak. A jobb víruskeresők ezért közvetlen lemezkezelést használnak, mellyel a vírusok lopakodását lehet felfedni, másrészt heurisztikus keresőket, melyek az ismeretlen vírusokat is kisebb-nagyobb sikerrel megtalálják.

 

Boot vírusok

 

Az első vírusok közé tartoznak. Ez a vírusfajta a lemezen levő úgynevezett BOOT szektor-t fertőzi meg, módosítja a kódját. A BOOT szektor a számítógép (PC) indulásakor töltődik be, és indítja el az operációs rendszerünket (DOS / OS/2 / Windows). A fertőzött rendszer indulásakor a vírus a memóriába kerül, majd mikor floppy kerül a meghajtóba megfertőzi annak BOOT szektorát.

 

E vírusok ellen manapság már elég jól lehet védekezni. Egyrészt számítógépünk SETUP-jában beállítható a winchester-ek BOOT szektorának írásvédelme, másrészt kikapcsolható a floppy-ról bootolás. További lehetőségek a DOS megkerülésével működő (a vírus szimulálhatja, hogy fertőzetlen a BOOT szektor, de csak a DOS-ra ráépülve) védelmek, melyek figyelmeztetnek lehetséges vírustámadáskor.

 

Társ (Companion) vírusok

 

Ezek a vírusok a DOS parancsvégrehajtási sorrendjét használják ki. Ahelyett, hogy módosítanák a fertőzendő EXE programot, létrehoznak egy azonos nevű, de COM kiterjesztésű programot, s abba másolják kódjukat. A felhasználók program indításakor általában csak annak nevét gépelik be, a kiterjesztés nélkül. Ekkor a DOS az azonos nevűek közül a COM kiterjesztésűeket részesíti előnyben (ha nem talál ilyet, akkor az EXE kiterjesztésű következne), s így a vírust indítja el. A vírus miután lefutott, elindítja az EXE kiterjesztésű programot, tehát a felhasználó semmilyen különbséget nem észlel.

 

Másik változata a companion vírusoknak, mikor a vírus a PATH környezeti változóban levő könyvtárak közül előbbre másolja magát, mint a fertőzendő program van. A DOS ugyanis ha nem találja az aktuális könyvtárban egy programot, akkor a PATH változóban felsoroltakban kezdi el keresni. Így ha a vírus előbb van ebben a változóban, akkor ő fog lefutni.

 

E vírusok ellen talán még nehezebb védekezni, mint a file-vírusok ellen, ugyanis semmilyen változás nem történik a "megfertőzött" file-ban. Újabban a víruskereső programok leellenőrzik, hogy van-e azonos nevű COM és EXE file, azonban ez csak közvetlen lemezkezelés és heurisztikus keresés esetén hatásos, illetve, ha ismert vírusról van szó.

 

Speciálisan terjedő vírusok

 

A legtöbb vírus az eddig bemutatott módokon terjed, azonban akadnak kivételek, melyek közül két érdekesebbet mutatok be.

 

Az egyik legötletesebb a Magyarországon Cluster Buster-nek nevezett vírus. Ez egyáltalán nem módosítja a programokat, nem növeli meg hosszukat. Ha elindítjuk a vírusos programot, akkor a vírus a lemez utolsó szektorát foglalja le magának, és odamásolja magát. Ezt követően, ha elindítunk egy programot, akkor annak kezdőszektorait módosítja a lemezen, úgy, hogy azok rá mutassanak. Miután végrehajtódott természetesen lefuttatja az eredeti programot is.

 

Másik érdekes ötlet az archív file-ok fertőzése. Az ilyen vírusok indításuk után archív file-ok (pl. ZIP, ARJ, RAR) keresésébe fognak a lemezen, majd ha találnak egyet, akkor bővítik azt saját magukkal. Ha egy ilyen archívot ezután kicsomagolunk, és elindítjuk belőle a később hozzáadott file-t, akkor az további archívokat fertőz...

 

Vírusok tulajdonságai

 

Lopakodó vírusok

 

A lopakodás többnyire a Companion és a file-okat fertőző vírusok jellemzője. A lopakodás abból áll, hogy a vírus megpróbálja elrejteni magát a felhasználó és a víruskereső programok elől.

 

A felhasználó a programok méretváltozását, és új file-ok jelenlétét észlelheti. Ez ellen lehetséges a DOS könyvár-listázó megszakításának lecserélésével védekezni a vírusnak: ha ez az interrupt vírusos file-t ad vissza, akkor az aktív vírus módosítja a visszaadott file-méretet, illetve az általa létrehozott file-ok visszaadása helyett meghívja még egy alkalommal a megszakítást (a következőt adja vissza).

 

Egy víruskereső program egy file tartalmának megváltozását, vagy benne a vírust észlelheti. Egy lopakodó vírus képes akár egy fertőzött file-t eredetinek feltüntetni, azaz ha egy file-ból olvas egy program, akkor úgy manipulálja az olvasott byte-okat, hogy azok a fertőzetlen file-lal egyezzenek meg.

 

A lopakodás ellen csak a közvetlen lemezhozzáféréssel dolgozó víruskeresők eredményesek, de ha egy külön Boot lemezről indítjuk a gépet, akkor a vírus nem tud aktivizálódni, tehát felfedezhető.

 

Polimorf vírusok

 

A polimorf vírusok minden fertőzése másképp néz ki. Ezt úgy érik el, hogy tartalmaznak egy úgynevezett Mutation Engine-t. Ez a vírusrész a fertőzéskor fut le, feladata a "programírás", azaz a vírusnak megfelelő dekódolóprogram véletlenszerű utasításokból való létrehozása.

 

Ezt a legegyszerűbben a következő példán keresztül érthetjük meg: 1+2+3+4+5+6, a 6+5+4+3+2+1 és a 5+6+7 összeadás is 21-et eredményez, mégis teljesen másképp néz ki, más elemeket tartalmaz. Például 0-át az előző összeadásokba bárhol beszúrhattunk volna, a végeredmény nem változik.

 

A polimorf vírusok is így működnek. A 9 bites AL regiszter eggyel növelése egyértelműnek látszik: INC AL, azonban ezt a műveletet úgy is elvégezhetjük, hogy hozzáadunk 2-őt, majd levonunk 1-et (ADD AL,2 / DEC AL), általánosabban eggyel többet adunk hozzá, mint amennyit levonunk belőle. A dekódolóprogramban funkció nélküli utasításokat is elhelyezhet a vírus, ezek az előző példában a 0-nak felelnek meg.

 

Ebből látszik, hogy a polimorf vírusok felismerése nagyon bonyolult is lehet, ezért a víruskeresés nagy mértékben lelassulhat, a víruskeresőknek ezért különböző trükköket kell alkalmazniuk. Az ilyen vírusok elemzése is viszonylag sokáig tart.