Lucrare de laborator 1

Tema: Principalele semne (indicii) de infectare a calculatorului

Scopul lucrrii: Abiliti practice de detectare a malware-ul pe un calculator instalat cu sistemul
de operare Windows.
1.1. Sarcina 1: Studierea setrilor browser-ului
Programele malware acioneaz - evident (direct), neevident (indirect) i ascuns. Dac aciunile
primelor apar pe monitoare, depistarea celor neevidente i ascunse cer utilizatorului cunotine - ce,
unde i cum s caute.
Nu toate tipurile de programe malware au tendina de a se ascunde - multe dintre ele se manifest
n mod activ. Acest lucru este tipic pentru troieni i aa numitele adware (programme de publicitate).
Manifestrile - schimb pagina de start n browser, afieaz reclame la rularea acestuia, reclame care
pot fi afiate ca bannere n fereastra programului, sau de tip pop-up (care deschide ferestre noi cu
publicitate, deasupra tuturor ferestrelor) cum, de exemplu, este prezentat n figura 1.

Figura 1 - Exemple de Adware cu Pop-up anunuri

Unele malware de publicitate sunt, n esen inofensive, scopul lor principal - a atrage atenia la un
anumit produs sau serviciu.
Programele malware neevidente sunt programele care ncearc s dezactiveze sau s elimine
programele antivirus, s blocheze actualizarea bazelor de date a programelor antivirus. Respectiv,
dac un antivirus brusc, fr nici un motiv, a ncetat s funcioneze sau se blocheaz deschiderea siteurile companiilor antivirus, iar accesul la Internet se petrece n mod normal, acestea pot fi manifestri
ale virusurilor. Programe malware care nu se manifest direct, se numesc ascunse. Le pute i depista
prin procese suspecte n memoria calculatorului, printr-o activitate de reea nereglamentat, modificri
n registry Windows.
Aceast sarcin prevede investigarea activitii programelor malware ce modific setrile
browser-ului. Adic utilizatorul este forat s viziteze un anumit site. Malware, schimb adresa paginei
WEB, adic adresa site-ului, care este ncrcat n mod automat de fiecare dat cnd deschidei
browser-ul.
Deschidei browser-ul Internet Explorer.
1. Pentru a verifica setrile paginei de pornire, utilizai meniul TOOLS, facei clic pe Internet
options (figura 2). Setai pagina blank. Facei clic pe OK.
2. nchidei i redeschidei Internet Explorer.
3. Asigurai-v c browser-ul a ncrcat pagina blank.

Figura 2
n cazul n care browser-ul ncepe s ncarce un site necunoscut, verificai setrile: ce adresa a fost
expus ca pagina de start. Unele malware se limiteaz numai cu schimbarea paginei de start. Dar
trebuie s se in cont de faptul, c acest lucru poate fi doar o parte dintr-un program malware. n caz
cnd detectai o schimbare neautorizat a adresei paginei de pornire, verificai calculatorul cu un
program antivirus.
1.2. Sarcina 2: Procese suspecte
O manifestare a programului malware este prezena unui proces suspect n lista proceselor
(programelor) care ruleaz curent. Putei analiza lista de procese manual i putei identifica programul
malware manual. Aceast metod este una dintre cele mai eficiente pentru detectarea de programe
malware care au caracteristici neevidente sau ascunse.
Evident, este necesar s cunoatei diferena dintre procesele care ruleaz curent (de exemplu,
programele de sistem, sau programele utilizatorului) de cele suspecte. Pentru a vedea lista
programelor ce ruleaz curent, trebuie s utilizai Windows Task Manager.
Windows Task Manager este o aplicaie standard inclus n orice versiune de Microsoft Windows.
Utiliznd-o, putei n timp real monitoriza aplicaiile, procesele i serviciile ce ruleaz, s evaluai
resursele de sistem disponibile i utilizarea reelei calculatorului sau pentru a nchide un program care
nu rspunde.

Figura 3- Fereastra aplicaiei Task Manager

Pentru a deschide Windows Task Manager, apsai combinaia de taste Ctrl + Alt + Delete (figura
3). Fereastra contine cinci butoane, corespunztoare celor cinci tipuri de activiti care
monitorizeaz Manager: Applications (aplicaiile ce ruleaz curent), processes (toate procesele
inclusiv i cele de system), services (Windows 7), performance (utilizarea resurselor de sistem),
networking (utilizatorii reelelor) i users.
Dac nu sunt pornite aplicaii (clic pe butonul Applications) fereastra va arta ca n figura 3.
Executai clic pe butonul processes (figura 4).

Figura 4
Toate aceste procese sunt necesare pentru funcionarea corect a sistemului!
n caz cnd nu este pornit nicio aplicaie, n partea de jos a ferestrei figura 3 se va indica CPU
Usage 0%. Dac depistai un proces suspect, ce nu are legtur cu cele de sistem, nchidei manual
executnd clic pe "End Process". Evident, stoparea aplicaiei, nu elimina prezena unui virus pe
calculator, ci l stopeaz n acest moment. Urmtorul pas verificarea calculatorului cu antivirus.
Executai clic pe butonul Performance (figura 5). Cu atenie cercetai graficele de aici.
Amplitudinile din grafice apar, de exemplu, cnd pornii un program. n cazul n care nu se execut
niciun program, i amplitudinile din grafice persist, acesta poate fi motivul pentru un studiu mai
detaliat al calculatorului.
Figura 5
1.3. Sarcina 3.
Elemente de
Startup (pornire)
Programul Malware,
precum i orice alt
program trebuie s fie
pornit. Sunt
dou
moduri pornirea de
ctre utilizatorul nsui
a
programului, sau
infiltrarea n fiierele de
configurare i pornirea simultan cu programele legale. Varianta opional pentru malware este
instalarea sa n setul de programme din Startup i s starteze automat la pornirea sistemului de
operare.

Tehnic, ca programul s porneasc n mod automat, e necesar ca el sa fie nregistrat n Registry

Windows al sistemului de operare. Registry Windows este mare, dar este o aplicaie care v permite
s lucrai cu el direct - regedit. S facei acest lucru este recomandat doar ca o ultim soluie. Pentru
mai multe situatii legate de pornirea automat, e suficient s utilizai aplicaia de sistem System
Configuration.
Pornii aplicaia. Pentru a face acest lucru, deschidei meniul Start, clic pe butonul Run, n
cmpul ferestrei Run, culegei msconfig, i executai clic pe OK (figura 6).

Figura 6
n fereastra aprut (figura 7, Windows 7), putei alege metoda de pornire a sistemului de operare. n
mod implicit este setat Normal Startup. Acest mod ofer funcionalitate maxim. Celelalte dou sunt
moduri diagnostice.

Figura 7
n figura 8 este prezentat System Configuration pentru WindowsXP.

Figura 8
Modul de diagnosticare este recomandat cnd e confirmat prezena programelor malware i
anume cnd calculatorul este deja infectat, iar instalarea software-ul antivirus este blocat de malware.
n cazul cnd malware nu poate fi eliminat, sau neutralizat temporar, se recomand s restartai
sistemul de operare n modul de siguran (safe mode) , s instalai soft-ul antivirus i verificai
ntregul hard disk.
Clic Butonul Boot i v prezint sistemul actual de operare.

Clic Butonul Services i v prezint programele instalate de utilizator (este inducat i softul antivirus).
Pentru a le afia bifati Hide all Microsoft sevices (jos,stnga) (figura 9).

Figura 9
Clic Butonul Startup i v prezint programele utilizatorului care pornesc mpreun cu sistemul de
operare. Dac observai un program suspect, l putei stopa (figura 10).

Figura 10
n cazul WindowsXP:
System.ini. afieaz lista de drivere ce ruleaz i diferite setri ale sistemului de operare. Sunt
menionate link-urile n acelai sistem de fiiere.
WIN.INI - afieaz lista de drivere ale sistemului de operare.
BOOT.INI se prezint informaia de sistem.
Services i Startup sunt similare windows 7.
2 Continutul raportului
Referatul va contine: desrierea succint a metodelor de detectare a malware-ului (neutiliznd
programe antivirus) pe un calculator, concluzii.