Завдання 1. Вивчення настроювань браузера.

Вірусні прояви бувають явними, непрямими й прихованими. Якщо перші звичайно видні неозброєним оком, то непрямі й тим більше приховані жадають від користувача прояву неабиякої долі інтуїції. Вони часто не заважають роботі, і для їхнього виявлення потрібно знати, де й що потрібно шукати.

Явні прояви звичайно виражаються в рекламних повідомленнях, що зненацька з'являються, і банерах – звичайно це слідство проникнення на комп'ютер рекламної утиліти. Оскільки їхня головна мета – це привернути увагу користувача до рекламованих послуг або товару, то їм складно залишатися непомітними. Також, явні прояви можуть викликати ряд троянських програм.

У цьому завданні пропонується дослідити явні прояви вірусної активності на прикладі несанкціонованої зміни настроювань браузера. Цей механізм іноді використовується для того, щоб змусити користувачів зайти на певний сайт. Для цього змінюється адреса домашньої сторінки, тобто адреса сайту, що автоматично завантажується при кожному відкритті браузера.

1. Відкрийте браузер Internet Explorer, скориставшись однойменним ярликом на робочому столі або в системному меню Пуск / Програми

2. Якщо у Вас відкритий і настроєний доступ в Інтернет і після установки операційної системи стартова сторінка змінена не була, повинна відкритися сторінка за умовчаванням – http://www.msn.com.

Якщо доступ в Інтернет не налаштований, то виведеться відповідне повідомлення: "Сервер не знайдено"

3. Перевірте значення параметра, відповідального за стартову сторінку. Для цього потрібно скористатися меню Сервіс. Відкрийте його й виберіть пункт Властивості оглядача.

4. Адреса стартової сторінки зазначена у першому ж полі вікна Властивості оглядача, що відкрилося,на закладці Загальні. Значення цього поля збігається з тією адресою, що була автоматично задана при відкритті браузера.

5. Далі для підтвердження зроблених змін натисніть ОК.

6. Закрийте й знову відкрийте браузер.

7. Переконаєтеся, що тепер першою справою була завантажена сторінка.

У випадку, якщо на Вашім комп'ютері доступ в Інтернет не настроєний, про це можна догадатися за значенням у поле Адреса:

Таким чином, якщо Ваш браузер почав самостійно завантажувати сторонній сайт, у першу чергу потрібно вивчити настроювання браузера: яка адреса виставлена в поле домашньої сторінки.

Ряд шкідливих програм обмежуються зміною цього параметра й для усунення наслідків зараження потрібно лише виправити адресу домашньої сторінки. Однак це може бути тільки частиною шкідливого навантаження. Тому якщо Ви виявили несанкціоновану зміну адреси домашньої сторінки, варто негайно встановити антивірусне програмне забезпечення й перевірити весь жорсткий диск на наявність вірусів.

Завдання 2. Підозрілі процеси.

Одним з основних проявів шкідливих програм є наявність у списку запущених процесів підозрілих програм. Досліджуючи цей список, і особливо, порівнюючи його з переліком процесів, які були запущені на комп'ютері відразу після установки системи, тобто до початку роботи, можна зробити досить достовірні висновки про інфікування. Це часто допомагає при виявленні шкідливих програм, що мають як тільки приховані або непрямі прояви.

Однак необхідно чітко розуміти й уміти відрізняти легальні процеси (наприклад, системні або запущені програми) від підозрілих. У цьому завданні необхідно ознайомитися з основним методом дослідження запущених процесів, а саме одержати навички роботи з Диспетчером завдань Windows, і вивчити стандартний їхній набір.

Диспетчер завдань Windows – це стандартна утиліта, що входить у будь-яку версію Microsoft Windows. З її допомогою можна в режимі реального часу відслідковувати додатки, що виконуються, і запущені процеси, оцінювати завантаженість системних ресурсів комп'ютера й використання мережі.

1. Перейдіть до Диспетчера завдань Windows, нажавши одночасно клавіші Ctrl + Alt+Delete.

Вікно, що відкрилося, містить чотири закладки, що відповідають чотирьом видам активності, які відслідковує Диспетчер:додатки,процеси, швидкодія і мережа.

2. Перейдіть на вкладку Процеси й уважно вивчите представлений у вікні список процесів. Якщо на комп'ютері не запущені ніякі програми користувача, він повинен містити тільки службові процеси операційної системи.

Увага! Дані процеси необхідні системі для стабільної роботи.

У даній роботі ми розглядаємо ОС Microsoft Windows XP, в Microsoft Windows Vista, кількість процесів, необхідних для стабільної роботи ОС набагато більше.

1. Для кожного процесу виводяться його параметри: ім'я образа (може не збігатися з ім'ям файлу, що запускається), ім'я користувача, від імені якого був запущений процес, завантаження цим процесом процесора й обсяг займаної їм оперативної пам'яті.

2. Оскільки в цей момент не повинна бути запущена жодна програма користувача, процесор повинен бути вільний. Отже, "Бездіяльність системи" повинна виявитися внизу списку з досить більшим відсотком "використання" процесора. На рис. 7.1 це 95 %.

Рис. 7.1. Перелік процесів, які виконуються в системі

У ряді випадків може знадобитися вручну завершити якийсь процес. Це можна зробити за допомогою кнопки Завершити процес.

3. Випишіть всі запущений процеси на аркуш паперу або в текстовий файл і перейдіть до закладки Додатки. Оскільки в цей момент не запущений жодний додаток, список запущених додатків порожній.

4. Не закриваючи вікна Диспетчера завдань Windows, відкрийте програму Paint. Для цього скористайтеся системним меню Пуск / Програми / Стандартні / Paint.

5. Дочекайтесь завантаження Paint.

6. Не закриваючи додаток Paint, поверніться до вікна Диспетчера завдань Windows і простежте за змінами на закладці Додатки.

7. Список запущених додатків повинен містити рядок, який відповідає Paint. Оскільки вона зараз працює, це ж записано в рядку Стан.

Іноді трапляється так, що програма викликає помилку – тоді в її стані буде написано "Не відповідає". Якщо будь-який раніше безперебійно працюючий додаток починає часто без видимих причин переходити в стан "Не відповідає", це може бути непрямою ознакою зараження. Тоді перше, що можна зробити – це скористатися кнопкою Зняти завдання й почати пошуки причин. Якщо програма не завершила роботу, перейдіть на вкладку Процеси, знайдіть у списку процесів потрібний Вам процес і скористайтеся кнопкою Завершити процес.

8. Перейдіть до закладки Процеси.

9. Порівняєте список запущених зараз процесів з переліком, складеним на кроці 3 цього завдання. Знайдіть відмінність.

10. Переконаєтеся, що програмі Paint відповідає процес mspaint.exe. Для цього знайдіть його в списку запущених процесів, не закриваючи й не звертаючи вікно Диспетчера завдань Windows, поверніться у вікні Paint і закрийте його.

11. Простежите, що зі списку запущених процесів пропав mspaint.exe. Поверніться до закладки Додатки й переконаєтеся, що він знову порожній.

12. Перейдіть до закладки Швидкодія. Уважно вивчите розташовані тут графіки. Будь-які сплески на них повинні за часом відповідати якимсь діям, наприклад запуску вимогливої до ресурсів програми. Якщо нічого схожого свідомо не проводилось, це може бути причиною для більше детального дослідження комп'ютера.

13. Закрийте вікно Диспетчера задач Windows.