poniedziałek, 11 stycznia 2010

Bootowalny antywirus, czyli Linux kontraatakuje:)

W przypadku systemów, których nazwy nie chcę wymawiać, czasami można złapać wrednego wirusa. Jeśli rozprzestrzenia się on w zastraszającym tempie, np. doklejając się do wszystkich plików *.exe, to najlepszym rozwiązaniem może być natychmiastowe wyłączenie systemu (tego na W) i niezależne uruchomienie antywirusa z bootowalnej płyty.

Takich płyt ratunkowo-skanujących, które bazują na Linuksie, jest wiele. Dziś chciałbym przedstawić dystrybucję Aviry. Obraz ISO można ściągnąć z www.avira.com/en/support/support_downloads.html. Aktualna wersja waży zaledwie 55 MiB (znacznie mniej niż np. propozycja Kaspersky'ego). Należy pobrać Avira AntiVir Rescue System




  • Po wybraniu 1 (ewentualnie 3 lub 4) powinniśmy zobaczyć główny widok w j. niemieckim. Klikamy na flagę brytyjską by zmienić język na angielski:


  • Po wciśnięciu Start scanner rozpocznie się skanowanie wszystkich dysków. Nie ma problemu z NTFS, bo Avira używa ntfs-3g.
  • Jeśli dość dawno pobraliśmy obraz płyty, to możemy zaktualizować bazę wirusów klikając Update. Potrzebne jest tylko połączenie z Internetem:

 

6 komentarzy:

  1. Istnieje tylko wersja dla CD, czy obraz klucza USB też jest? Widzę tylko ISO i .exe, orientujesz się, czym jest ww. .exe? Pendrive do takich zastosowań wydaje się o niebo wygodniejszy...

    OdpowiedzUsuń
  2. bieżesz ISO i programem np. Unetbootin robisz sobie Live USB. Program dostępny dla Linux i Windows

    OdpowiedzUsuń
  3. Niezbyt udany pomysł, żeby sugerować komuś mającemu pewność, że jego system jest zawirusowany, aby próbował ów wirusa usunąć. Jeśli ktoś z branży IT sugeruje użytkownikowi "naprawę antywirusem" zainfekowanego systemu, to oznacza, że ma braki w znajomości architektury systemów na W oraz zasadzie działania wirusów.

    Nawet sam producent systemu na W twierdzi, że jest to rozwiązanie zupełnie nie trafione - zachęcam do lektury: http://technet.microsoft.com/en-us/library/cc512587.aspx

    Cytując podsumowanie: The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications). Alternatively, you could of course work on your resume instead, but I don’t want to see you doing that.

    OdpowiedzUsuń
  4. @nme - producent systemu na W nie ma racji... Producent ten wie, że jest wiele pirackich kopi W i proponuje rozwiązanie, które zmusi do reinstalki - a nóż widelec się pirat xp'ka zawieruszył, nie? Poza tym mamy różne rodzaje szkodników w tym systemie i nie każdy z nich rozwala system - niektóre pracują sobie w tle, jak zwykły program i czekają aż wpiszesz login i hasło na stronie, np. bph.pl... Podczas pracy sytemu ciężko go zneutralizować, bo przeważnie idą 2 procesy, które nawzajem monitorują, czy praca jednego z nich nie została przerwana, a w razie takiego przypadku jeden uruchamia drugiego i niesposób go zabić - poza tym pliczki są w użyciu i jest problem z ich usunięciem. Nie proponowałbym rozwiązania producenta. Ja to robię tak, że wyciągam dysk, podpinam do drugiego kompa przez usb i skanuję - prawie to samo co uruchomienie bootowalnego antyvirusa: system jest off-line, o co chodziło. W przypadku niepowodzenia przy uruchamianiu się leczonego systemu, dopiero wtedy wkładamy płytkę instalacyjną systemu W i poprzez napraw nadpisujemy system, potem aktualizujemy itd, mając zachowane ustawienia programów, dokumenty i inne badziewia na dysku. To samo tyczy się aplikacji po udanym uruchomieniu systemu W. Należy sprawdzić, czy się odpalają. Jeśli nie, to nadłożyć i po sprawie...

    OdpowiedzUsuń
  5. Aha, zaponiałem zapytać, gdzie program zapisuje sobie definicje wirusów? Wybiera się lokalizację, czy za każdym razem trzeba pobierać do pamięci?

    OdpowiedzUsuń
  6. Nie zauważyłem by gdziekolwiek zapisywał definicje...

    OdpowiedzUsuń