Sposób zabezpieczenia komputera przed wirusami internetowymi

Szanowny Abonencie.

Wirusy internetowe mogą zainfekować Państwa komputer jeśli jest on nie zabezpieczony programem typu firewall oraz programem antywirusowym.

Wirusy te próbują rozprzestrzeniać się na inne komputery obecne w Internecie generując czasami bardzo duży ruch sieciowy.

Firma NPLAY dbając o wysoką jakość świadczonych usług automatycznie blokuje dostęp do Internetu komputerom, które generują ruch sieciowy charakterystyczny dla wirusów internetowych.

Jeśli strona ta pojawia się automatycznie oznacza to, że nasz system wykrył aktywność wirusów internetowych na Państwa komputerze.

Wzmożony ruch na portach od 135 do 139 oraz 445 może być generowany przez szeroko dziś rozprzestrzenione wirusy/robaki typu blaster lub sasser.

Aby zapobiec wyświetlaniu się tego ostrzeżenia należy zadbać o bezpieczeństwo swojego komputera odpowiednio go zabezpieczając.

Zabezpieczenie komputera polega przede wszystkim na zainstalowaniu wszystkich obecnie dostępnych aktualizacji (łatek), usunięciu wirusów czy robaków ze swoich zbiorów na dysku twardym i zainstalowanie zapory sieciowej (firewall) oraz programu antywirusowego.
Poniżej znajdują się instrukcje mające na celu pomóc Państwu zabezpieczyć swój komputer.

1. Usunięcie wirusa blaster

• Wyłączyć działający w tle proces wirusa
  
W tym celu należy wyświetlić listę aktualnie działających w komputerze procesów wciskając równocześnie klawisze Ctrl+Alt+Delete (jeżeli lista nie pojawia się odrazu, należy w wyświetlonym okienku kliknąć przycisk "Menedżer zadań").
Na tej liście należy odnaleźć program o jednej z nazw: MSBlast, penis32, teekids, mspatch, mslaugh lub enbei i zakończyć go.


• Zainstalować odpowiednie dla swojego systemu aktualizacje łatające "dziurę", dzięki której wirus infekuje komputer.
  

System operacyjny	Wersja językowa systemu
Windows NT 4.0 Server	polska	angielska
Windows 2000	polska	angielska
Windows XP	polska	angielska

2. Usunięcie wirusa sasser

• Zainstalować odpowiednie dla swojego systemu aktualizacje łatające "dziurę", dzięki której wirus infekuje komputer.
  

System operacyjny	Wersja językowa systemu
Windows NT 4.0 Server	polska	angielska
Windows 2000	polska	angielska
Windows 2003 Server	polska	angielska
Windows XP	polska	angielska

3. Instalacja i konfiguracja firewall'a - Sygate Personal Firewall Standard

Firewall jest programem, który kontroluje ruch sieciowy - czyli połączenia z innych komputerów w sieci przychodzące do naszego komputera i na odwrót - połączenia nawiązywane przez nasz komputer z innymi komputerami w sieci.

Wersja Standard programu Sygate Personal Firewall jest wersją darmową jeśli jest instalowana na komputerze domowym.

W celu uniknięcia jakichkolwiek problemów zalecamy zapoznanie się z licencją jaką objęty jest program.

Aby zapobiec generowaniu nadmiernego ruchu na portach 135 do 139 i 445 i zarazem wyświetlaniu się tego ostrzeżenia należy postępywać zgodnie z poniższą instrukcją.

Program należy ściągnąć i uruchomić co rozpocznie proces instalacji.
Na pierwszym ekranie należy kliknąć Next
Na drugim ekranie po przeczytaniu licencji należy zanzaczyć opcję I accept the license agreement i kliknąć Next
Na trzecim ekranie po wciśnięciu przycisku Browse można zmienić katalog docelowy programu a następnie kliknąć przycisk Next
Na czwartym ekranie należy kliknąć Next
Na piątym ekranie należy kliknąć Finish
Instalator zaleci jeszcze zrestartowanie systemu, więc należy pozamykać wszystkie otwarte programy i kliknąć Yes
Jeśli instalacja przebiegła prawidłowo to od momentu ponownego startu komputera na tacce systemowej (prawy dolny róg ekranu) powinna być widoczna taka ikonka

Od tego momentu program będzie monitorował każde połączenie sieciowe i każdy program próbujący nawiązać połączenie sieciowe - w momencie wykrycia połączenia program wyświetla okno dialogowe podobne do poniższego.

Pole 1 To nazwa programu, który próbuje nawiązać połączenie sieciowe
Pole 2 To adres serwera, z którym program próbuje nawiązać połączenie
Pole 3 To numer portu, z którym program próbuje się połączyć.
Teraz w zależności od programu (1), adresu docelowego (2) i numeru portu (3) należy podjąć decyzję czy zezwalamy na nawiązanie tego połączenia sieciowego ( przycisk Yes ), czy też nie ( przycisk No ).

Aby naszej decyzji nadać stały charakter należy zaznaczyć pole Remember my answer, and do not ask me again for this application. Jeśli tak zrobimy to przy ponownej próbie nawiązania połączenia siecowego przez ten program (1) firewall nie zada żadnego pytania i podejmie zapamiętaną wcześniej akcję ( pozwoli lub nie na nawiązanie połączenia).
Przycisk Detail>> pokazuje pewne dodatkowe informacje.

Jak za pomocą Sygate Personal Firewall zablokować połączenia wychodzące i przychodzące na porty 135 do 139 i 445 ?

Należy wykonać następujące czynności:

Kliknąć w ikonę firewall'a i przywołać główne okno programu.

Z menu programu należy wybrać kolejno opcję Tools, Advanced Rules... i potwierdzić chęć przejścia dalej.

W oknie, które się pojawi należy kliknąć przycisk Add co spowoduje rozpoczęcie definiowania nowej reguły firewall'a

W zakładce General wpisujemy w polu Rule description opis reguły (np. "Blokada sassera i blastera" ) a pozostałe opcje i pola ustawiamy tak jak na obrazku.

W zakładce Hosts zaznaczamy opcję All addresses

W zakładce Ports and Protocols w polu Protocol wybieramy protokól, którego ma dotyczyć nowa reguła - wybieramy TCP; w polu Remote oraz w polu Local wpisujemy numery portów, które chcemy brać pod uwagę - wpisujemy 135-139,445; pozostałe pola i opcje wypełniamy tak jak na obrazku

W zakładce Scheduling zaznaczamy wszystkie opcje tak jak na obrazku

Następnie klikamy w przycisk OK

Powyższe kroki powinno się powtórzyć tworząc drugą regułe z jedna tylko zmianą w zakładce Ports and Protocols, w której tak jak na obrazku zaznaczamy protokuł UDP

W oknie klikamy OK

Od tego momentu, nawet jeśli komputer jest zainfekowany wirusami blaster lub sasser, to ich próby generowania ruchu na portach 135-139 i 445 są blokowane przez firewall.

4. Instalacja programu antywirusowego - avast!

Program należy ściągnąć i zainstalować w dowolnym katalogu.
Wersja Home programu avast! jest wersją darmową jeśli jest instalowana na komputerze domowym.

W celu uniknięcia jakichkolwiek problemów zalecamy zapoznanie się z licencją jaką objęty jest program.

Jeżeli wszystkie kroki wykonano prawidłowo to po około 20 minutach strona którą Państwo czytacie powinna zniknąć.

Powyższe instrukjce pomagają zabezpieczyć komputer przed infekcją i działaniem wirusów blaster/sasser, jednak w szczególnych wypadkach ( obecność innych wirusów ) mogą one nie wystarczyć.

Jeżeli po upływie maksymalnie 20 minut strona ta wyświetlana jest nadal należy za pomocą programu Sygate Personal Firewall odnaleźć na Państwa komputerze programy generujące ruch w sieci i zablokować im możliwość wykonywania połączeń sieciowych.

Aby tego dokonać należy:
Wybrać kolejno z menu opcje: Tools -> Logs -> Traffic Log... i tym samym przywołać okno Log Viewer -- Traffic Log
W tym oknie znajduje się lista wszystkich połączeń (pakietów) wysyłanych i odbieranych przez Państwa komputer.
Korzystając z tej listy należy zidentyfikować programy, które wykonują połączenia na porty od 135 do 139 i 445 by poźniej zablokować im dostęp do sieci.

Należy odnaleźć wiersze w których w kolumnie Remote Port znajduje się liczba 135, 136, 137, 138, 139 lub 445 i zapisać na kartce ścieżkę do programu, który to połączenie wykonuje - kolumna Application Name
W tym oto przykładzie taka plikacją jest program C:\WINDOWS\System32\ntoskrnl.exe

Mając listę aplikacji wykonujących połączenia na porty 135-139 i 445 tworzymy zaawansowaną regułę firewalla, która zablokuje tym programom możliwość wykonywania połączeń sieciowych:

Z menu programu należy wybrać kolejno opcję Tools, Advanced Rules... i potwierdzić chęć przejścia dalej.

W oknie, które się pojawi należy kliknąć przycisk Add co spowoduje rozpoczęcie definiowania nowej reguły firewall'a

W zakładce General wpisujemy w polu Rule description opis reguły (np. "Blokada wybranych programow") a pozostałe opcje i pola ustawiamy tak jak na obrazku.

W zakładce Hosts zaznaczamy opcję All addresses

W zakładce Ports and Protocols w polu Protocol wybieramy protokól, którego ma dotyczyć nowa reguła - wybieramy ALL

W zakładce Scheduling zaznaczamy wszystkie opcje tak jak na obrazku

W zakładce Applications odnajdujemy zapisane wcześniej ścieżki do programów w kolumnie Path i z lewej strony zaznaczamy dany program lub kilka programów; Jeżeli aplikacji, którą chcemy zablokować niema na liście należy ją do niej dodać czyli kliknąć przycisk Browse... i w oknie dialogowym przejść do katalogu, w którym znajduje się prgram a następnie w polu Nazwa pliku: wpisać jego nazwę lub wybrać ją z listy (pliki ukryte mogą się na tej liście nie pojawić) i kliknąć OK. Na obrazku przykład dla programu "explorer.exe".

Następnie klikamy w przycisk OK i drugi raz w oknie również klikamy OK

Od tego momentu, zaznaczone na liście programy nie mogą nawiązywać połączeń sieciowych.

Po maksymalnie 20 minutach strona, którą Państwo czytacie powinna zniknąć.

Dodatkowo zalecamy ściągnięcie i uruchomienie programu Windows Worms Doors Cleaner v1.4.1, który służy do wyłączenia "dziurwaych" usług działających na systemach Windows.
Po uruchomieniu programu należy klikać po kolei w przyciski Disable ... ( tak jak na obrazku ) i zrestartować komputer.

Zalecane przez nas działania opisane na tej stronie ukierunkowane są na powstrzymanie głównie wirusów blaster/sasser. Z tego powodu mogą okazać sie niewystarczające w konfrontacji z innymi, nowszymi wirusami.