Szerző: Dojcsák Dániel

2014. január 31. 09:59:00

Kártevőket is észlel már a Process Explorer

Megjelent a Process Explorer legújabb, 16-os frissítése, ami az eddig is alapos és részletes rendszerinformációkat kártevő-észleléssel egészíti ki. Mostantól a szoftveren belül a felhasználók teljes VirusTotal- integrációt is kapnak, ami több tucat vírusadatbázis információt használja arra, hogy kiderítse, melyek a rosszindulatú betolakodó programok a gépen.

A mai trójai és egyéb kártevő programok egyik legfontosabb képessége a rejtőzködés. Gyakran a felhasználó tudja, de legalábbis érzi, hogy valami nincs rendben a gépen. Például azért, mert üresjáratban is terhelés alatt van a gép, indokolatlan hálózati aktivitás látszik vagy egyszerűen csak nem normális módon működnek a folyamatok. A legtöbb esetben azonban nehéz eldönteni, hogy melyik program a hunyó.

Az új Process Explorer 16 már ebben is segítséget nyújt, hiszen ha felébred a gyanú, hogy valamelyik folyamat illegális bevándorló, akkor a listában egy jobb klikk után a “Check VirusTotal” menüpontra kattintva azonnal elküldhető a folyamat hash kivonata egy központi adatbázishoz. Itt több tucatnyi antivírus-adatbázison fut át a fájl, a felhasználó pedig visszakapja, hogy a rendelkezésre álló szolgáltatások közül mennyi találta veszélyesnek azt. Ha a szám aggasztóan magas, akkor egy további kattintás után elérhető a teljes jelentés, tételesen átnézhető, hogy mely programok és miért találják gyanúsnak az adott programot.

Ha valaki odáig sem jut el, hogy gyanúsítson egy futó folyamatot, akkor természetesen van lehetőség arra is, hogy egy mozdulattal mindent átnézzen az ellenőrzés. Ehhez mindössze el kell fogadni a Google által két éve felvásárolt VirusTotal.com felhasználási feltételeit, ami egyébként 2012 szeptembere óta változatlan. Ezt követően egy új hasáb jelenik meg a listában a VirusTotal eredményekkel.

Körülbelül 50 adatbázison futnak át a fájlok, s a legtöbb normális esetben nulla helyen akad fenn. Lesznek olyanok, amiket egy algoritmus sem ismer fel, ezeket szintén lehet veszélytelennek tekinteni, bár ennek oka az, hogy ezekhez a folyamatokhoz nem fér hozzá a szoftver, ezért nem tud hash-t küldeni róluk. Illetve még nem fertőzött gépeknél is elő fog fordulni, hogy valamelyik túlbuzgó adatbázis bejelez. Például a Spotify.exe a Rising nevű vírusirtó szerint kártékony, de a teljes jelentést átnézve kiderül, hogy semmi baj nincs vele és legrosszabb esetben is kéretlenül futó program kategóriába esik. Előfordulhat, hogy mindössze azért, mert a rendszerrel együtt indul. Az ellenőrzés egyébként alig néhány másodpercig tart, érdemes időnként rápillantani.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A teljes jelentés egyébként egészen alapos és bonyolult, kezdő felhasználók valószínűleg nem sok mindent tudnak majd kezdeni az ott használt kijelentéssel, viszont a hozzáértők számára pontos diagnózis készül. Ha valaki laikusként nyúl hozzá, akkor elegendő, ha arra hagyatkozik, hogy az 50-ből hány helyen számít veszélyesnek egy program. Ha csak 1-2, akkor valószínű, hogy vakriasztásról van szó, viszont, ha már tucatnyi ellenőrző motor bejelez, akkor érdemes utánanézni a potenciális fenyegetésnek.

A Process Explorer 16 letölthető a Microsoft TechNeten keresztül, s egy gyors telepítés után már indul is. A programban nincs automata frissítési lehetőség, így akik korábbi verziót használnak, azoknak újra le kell tölteni és telepíteni az új verziót.

a címlapról