Shvatili ste da ste se zarazili malwareom. Vrlo česti savjet koji cirkulira na online portalima i forumima je da bi trebali odmah isključiti internet vezu tj. isključiti mrežni kabel ili deaktivirati svoj Wi-Fi.
Radi li se o korisnom savjetu ili je ovdje riječ o zabludi?
Koji se razlog krije iza isključivanja interneta?
Kad razmislimo o situaciji kada ste utvrdili da ste se zarazili malwareom, zaista se postavlja pitanje koji bi bio smisao isključenja internet veze. Stvari baš nisu tako jednostavno zato što postoje dva razloga zašto pristupiti takvoj radnji.
Prvi polazi od pretpostavke da maliciozni kod može napadaču dati kompletan pristup vašem sustavu. Ovdje može, na primjer, biti riječ o posebnoj vrsti trojanca koji ima naziv Remote Access Trojan (RAT), a njegova je namjena da napadač na daljinu upravlja vašim računalom. Postoje razne vrste sličnog malwarea pa je sasvim logično da je kod ovih situacija isključivanje interneta koristan postupak koji odmah dokida štetu koja se radi s udaljene lokacije.
Drugi razlog je činjenica da tzv. ransomware virusi ne rade samo enkripciju vaših podataka s računala, već ih učitavaju na servere napadača. Tada je vrlo česti oblik prijetnje da se traži otkupnina jer će se u suprotnom isti podaci javno objaviti ili će se žrtva uz pomoć njih kompromitirati. Naravno, kod ovakvih napada isključivanje internet veze na isti je način dobar potez s kojim se zaustavlja prebacivanje podataka na servere napadača.
Kako rade antivirusni programi offline?
S druge strane, detekcija malwarea kod većine antivirusnih programa radi mnogo bolje kad je vaše računalo spojeno na internet. Razlog za to su velike baze podataka s podacima o opasnom malwareu koje proizvođači antivirusnih programa najčešće imaju na svojim serverima.
Detekcija malwarea temeljena na „reputaciji“ datoteke također zahtijeva pristup internetu kod nekih proizvođača antivirusnih programa. Reputacija koju spominjemo odnosi se na to otkud dolazi određena datoteka i koliko je se često prepoznaje na drugim računalima. Ova vrsta podataka se na isti način vrlo često ažurira na proizvođačevim serverima.
Zanimljivi rezultati testiranja
AV-Comparatives je nezavisna organizacija koja radi testiranja sigurnosnih softvera i provela je jedno zanimljivo istraživanje.
Testirala se razlika u detekciji malwarea kod offline i online skeniranja antivirusnih programa.
Utvrđeno je da Avira antivirusni program uspješno detektira 99.1 posto malwarea dok ima pristup internetu, a 92.5 posto kada radi offline. Još je veća razlika kod Microsoft Defendera. Ovaj antivirusni program ima detekciju od 95.8 posto kad ima pristup internetu te samo 77 posto kad radi offline. Kod McAfee antivirusnog programa je još izraženija razlika između 99.2 posto u online radu te 65.2 posto u offline radu.
Iz prikazanih rezultata jasno je da postoji i druga strana priče te da prekid internet veze može samo umanjiti kvalitetu rada antivirusnog programa.
Dakle, s prekidom internet veze ukidamo procese napada na daljinu te učitavanja podataka s našeg računala na servere napadača, ali umanjujemo učinkovitost antivirusnog programa.
Što na kraju učiniti? Naš je savjet da imate naviku pokretanje brzih skenova (quick scan) koji traju nekoliko minuta. Pokretanje kompletnog skena sustava može potrajati nekoliko sati, a kod, primjerice, Remote Access Trojan napada vrijeme može značiti zaista mnogo.
Ako sumnjate da se nakon skena malware i dalje nalazi u vašem sustavu, prekinite internet vezu i napravite detaljnu analizu. Na ovaj ćete način na miru provjeriti stanje svog sustava, te za sken cjelokupnog sustava koristite antivirusne programe za koje je poznato da kvalitetno rade u offline modu.
Piše: Ervin Mičetić