Anti-virusi su neophodni, ali samo mi recite koliko puta vam se
dogodilo da super, novi, do kraja update-ovani anti-virus "bleji" u
problem kao u šarena vrata? Ako je odgovor "nikada", onda sigurno
nemate dovoljno iskustva sa trojancima i virusima.
Ove tehnike
su ograničene toliko koliko znate tehnika odbrane, poznajemo neke, a
sigurno postoji njih još bezbroj, ali bi voleli da i Vi pošaljete svoja
iskustva sa trojancima i virusima.
Pre svega...
Pre svega i svačega otvorite Options od Windows Explorera, pa pod tab-om View
- isključite "hide file ekstensions for known types"
- uključite "show all files"
- isključite "hide windows protected files"
Kako znati da ste zaraženi?
1. Banalne metode
U
većini slučajeva se počnu događati neke čudne propratne stvari. Kao na
primer, vaš računar u jednom momentu zastane, a da mu ne možete
odrediti uzrok, ili ako koristite dial-up ,onda nakon isključenja sa
interneta, otvori se prozor sa ponovnim zahtevom da se spojite, jer
virus pokušava da se spoji na internet. Ako dobijete povratni mail od
vašeg mail server-a koji kaze da mail nije dostavljen na neku mail
adresu, a vi taj mail nikada niste ni poslali, jer je virus slao sam
sebe svima okolo, do svake email adrese na koju je naišao.
2. Pregledanjem liste procesa
Skinite
neki freeware ili shareware program koji lista i manipuliše procesima i
ne oslanjajte se baš na taskmanager od windowsa.
Kada tek
instalirate windows, onda bacite pogled na procese, vizuelno zapamtite
sadržaj, a vemenom ćete ih sve zapamtiti napamet. Svaki program koji
naknadno instalirate, može dodati neki svoj proces koji bi se u
pozadini pokrenuo i ako mislite da vam taj program ne služi nečemu
bitnom, tj. da samo smeta računaru time što je učitan u memoriju,
jednostavno ga maknite bez ikakvog razmišljanja.
Naravno ovaj program će se ponovo pokrenuti kada sledeći put upalite računar, ali doći ćemo i do toga.
Ako
pet dana zaredom po 5 sec dnevno pregledate listu procesa, svaki
sledeći dan, ako se neki dodatni program pokrene, upašće vam u oko.
3. Pregledanjem učitanih modula odnosno DLL-ova
Ovo
posebno vredi za Explorer.exe, dogodilo se da neki dll ima upisanu
svoju putanju u registry bazi u nekom ključu, kojeg explorer ili neki
drugi program kojem je to zadatak učita bez ikakvog pitanja, a takođe
unutar ovih DLL-ova mogu biti trojanci itd. Listu ovih učitanih DLL-ova
možete videti koristeći neki proces viewer koji ima podršku da prikaže
i module odnosno DLL-ove koje je učitao određeni proces. Izbor za ovo
je Essential Net Tools koji ima i prikaz putanje gde se nalazi određeni
progam ili modul na disku i koji je Manufacturer od tog programa ili
modula.
Svaki program ili modul kojem je manufakturer prazan,
nalazi se na nekoj čudnoj lokaciji ili ima neko čudno ime je sumnjiv i
potrebno ga je detaljnije istražiti.
4. Kada su menjane bitne windows komponente
Windows
komponente se menjaju samo kada se radi windows update, ne znam postoji
li alatka koja bi vodila računa o tome, jer bi se takođe mogao
instalirati trojan modifikovanjem nekih od windows komponenti ,tako da
bi sam sebe inficirao u postojeću komponentu (EXE, DLL, COM, itd.).
5. Data stream, Data stream, grrrr...
Potražite
program na googlu koji bi se možda mogao zvati data stream viewer/
editor/manager itd. jer je to mesto gde se takođe može svašta smestiti.
Ovo vredi ako je Vaša particija NTFS. Fajl je smešten uz drugi file ili
direktorijum koristeći sinstaksu file1.txt:file2.txt. Ovaj filel2.txt
se uopšte ne vidi koristeći Windows Explorer ili command line
interface, ali je divno mesto za skrivanje virusa trojanaca itd. Kada
tek instalirate windows, pogledajte koji su standardni fajlovi koji
dolaze skriveni u data stream (ako ih uopšte ima, jer nema nikakve
potrebe za tim), a zatim pokrećite povremeno taj data stream viewer da
bi otkrili novo nastale.
6. Start -> Programs -> StartUp
Pogledajte
startup za All Users i za vašeg user-a, jer iako izgleda glupo, možda
neki virus ili trojan stavi link do sebe u ovaj folder tako da kada se
svaki sledeći put računar bude palio, pokrenuće se i taj program.
7. Registry
Ja volim da otvorimi Regedit.exe, zatim Edit -> Find
Find what: Run
Look at: Keys
Ovim dobijem neke bezveze rezultate, ali nakon nekoliko pritiska na F3 stignem i do pravih vrednosti.
HKLMSoftwareMicrosoftWindowsCu rrentVersionRun
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnceEx
Zatim kod nekih windowsa:
HKLMSoftwareMicrosoftWindowsCu rrentVersionpoliciesExplorerRu n
HKLMSoftwareMicrosoftWindowsCu rrentVersionAeDebug
HKLMSoftwareMicrosoftWindowsCu rrentVersionImage File Execution Options
HKEY_CLASSES_ROOTexefileshello pencommand
Unutar ovih ključeva se mogu postaviti putanje do virusa i trojanaca koji će se paliti zajedno sa windows-om.
8. Control Panel -> Administrative tools -> Services
Takođe
u Services je moguće dodati trojanca ili virus. Naravno uvek ima opcija
disable kojom zaustavite i one mogućite taj neki "zli" servis.Posle
možete upisati njegovo ime pod kojim se predstavlja u servisima,
upisati u regedit.exe Edit->Find ,tako da možete otkriti orginalnu
putanju,a naravno možete i izbrisati te registry ključeve.
9. %systemroot%system32drivers
Umalo da zaboravimo, može se pojaviti i "novi" driver za Vas kompjuter.
10. Dokumentacija
Ovo
nije posebna tehnika, ali sve što nađete bilo u registriju ili negde
drugo, zapišite ime file-a, lokaciju, veličinu, datum kreiranja,
pristupanja itd,tako da Vam posle bude lakše prilikom brisanja.
Uklanjanje / brisanje
1.
Ako nabavite putanju tog zlog programa, potražite u istom
direktorijumu, ili gledajući reči koje se spominju u sadržaju tog zlog
momka, potrazite fajlove koji su povezani sa njim, možda koje on
koristi kao resurse, u koje smešta logove itd. Čak je moguće da su više
tih file-ova povezani, i čuvaju jedni druge. Možete te dodatne
iskopirati na neko sigurno mesto za naknadno istraživanje, a zatim ih
izbrisati. Ukoliko ste našli da se zli file nalazi u data streamu, ista
stvar vredi i za njega, kopirajte ako vam treba, a zatim pokušajte
izbrisati. (ako ne možete bilo koji fajl izbrisati,znači da je pokrenut
ili ga je neki pokrenuti proces otvorio, [čitajte dalje].
2.
Ako je reč o tome da je virus modifikovao neki sistemski file ,onda ga
pokušajte zameniti sa Backupom tog istog filea, ugasite računar i
probajte:
- DOS butabilnu disketu
- Repair Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računrlu npr. linux
KNOPPIX je takodje dobro resenje
3. Sada smo došli do toga da izbrišemo to "sranje"
Ukoliko
doslovno brisanje sa Shift+Delete ne radi ,znači da je pokrenut ili ga
je neki pokrenuti proces otvorio. Rešenje možete uzeti iz prethodnog
slučaja, tako što ugasite računar i probate:
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računaru npr. linux
- KNOPPIX je takodje dobro resenje
4.
Postoji jos jedna metoda, koja je takođe efikasna, jer je izuzetno
jednostavna i ne zahteva da se pokreće nikakav drugi operativni sistem.
Ukoliko
imate NTFS particiju na kojoj se nalazi zli file, a pokrenut je
winNT/2000/XP idite u Properties -> Security, a zatim svim
korisnicima,SYSTEM, Administrators, i sve što vidite pred očima,
stavite Full Access Deny. Iako je program učitan u memoriju ne možete
ga brisati ni menjati,možete menjati njegove dozvole, znači stavite
svima DENY!!! Sledeći put kada se bude palio Windows ,taj file se neće
moci učitati, a zatim ga možete mirno obrisati, nakon što mu vratite
dozvole u normalno stanje.
Uto Jan 01 2013, 13:01 od promaja
