Anti-virusi su neophodni, ali samo mi recite koliko puta vam se dogodilo da super, novi, do kraja update-ovani anti-virus "bleji" u problem kao u šarena vrata? Ako je odgovor "nikada", onda sigurno nemate dovoljno iskustva sa trojancima i virusima.
Ove tehnike su ograničene toliko koliko znate tehnika odbrane, poznajemo neke, a sigurno postoji njih još bezbroj, ali bi voleli da i Vi pošaljete svoja iskustva sa trojancima i virusima.
Pre svega...
Pre svega i svačega otvorite Options od Windows Explorera, pa pod tab-om View
- isključite "hide file ekstensions for known types"
- uključite "show all files"
- isključite "hide windows protected files"
Kako znati da ste zaraženi?
1. Banalne metode
U većini slučajeva se počnu događati neke čudne propratne stvari. Kao na primer, vaš računar u jednom momentu zastane, a da mu ne možete odrediti uzrok, ili ako koristite dial-up ,onda nakon isključenja sa interneta, otvori se prozor sa ponovnim zahtevom da se spojite, jer virus pokušava da se spoji na internet. Ako dobijete povratni mail od vašeg mail server-a koji kaze da mail nije dostavljen na neku mail adresu, a vi taj mail nikada niste ni poslali, jer je virus slao sam sebe svima okolo, do svake email adrese na koju je naišao.
2. Pregledanjem liste procesa
Skinite neki freeware ili shareware program koji lista i manipuliše procesima i ne oslanjajte se baš na taskmanager od windowsa.
Kada tek instalirate windows, onda bacite pogled na procese, vizuelno zapamtite sadržaj, a vemenom ćete ih sve zapamtiti napamet. Svaki program koji naknadno instalirate, može dodati neki svoj proces koji bi se u pozadini pokrenuo i ako mislite da vam taj program ne služi nečemu bitnom, tj. da samo smeta računaru time što je učitan u memoriju, jednostavno ga maknite bez ikakvog razmišljanja.
Naravno ovaj program će se ponovo pokrenuti kada sledeći put upalite računar, ali doći ćemo i do toga.
Ako pet dana zaredom po 5 sec dnevno pregledate listu procesa, svaki sledeći dan, ako se neki dodatni program pokrene, upašće vam u oko.
3. Pregledanjem učitanih modula odnosno DLL-ova
Ovo posebno vredi za Explorer.exe, dogodilo se da neki dll ima upisanu svoju putanju u registry bazi u nekom ključu, kojeg explorer ili neki drugi program kojem je to zadatak učita bez ikakvog pitanja, a takođe unutar ovih DLL-ova mogu biti trojanci itd. Listu ovih učitanih DLL-ova možete videti koristeći neki proces viewer koji ima podršku da prikaže i module odnosno DLL-ove koje je učitao određeni proces. Izbor za ovo je Essential Net Tools koji ima i prikaz putanje gde se nalazi određeni progam ili modul na disku i koji je Manufacturer od tog programa ili modula.
Svaki program ili modul kojem je manufakturer prazan, nalazi se na nekoj čudnoj lokaciji ili ima neko čudno ime je sumnjiv i potrebno ga je detaljnije istražiti.
4. Kada su menjane bitne windows komponente
Windows komponente se menjaju samo kada se radi windows update, ne znam postoji li alatka koja bi vodila računa o tome, jer bi se takođe mogao instalirati trojan modifikovanjem nekih od windows komponenti ,tako da bi sam sebe inficirao u postojeću komponentu (EXE, DLL, COM, itd.).
5. Data stream, Data stream, grrrr...
Potražite program na googlu koji bi se možda mogao zvati data stream viewer/ editor/manager itd. jer je to mesto gde se takođe može svašta smestiti. Ovo vredi ako je Vaša particija NTFS. Fajl je smešten uz drugi file ili direktorijum koristeći sinstaksu file1.txt:file2.txt. Ovaj filel2.txt se uopšte ne vidi koristeći Windows Explorer ili command line interface, ali je divno mesto za skrivanje virusa trojanaca itd. Kada tek instalirate windows, pogledajte koji su standardni fajlovi koji dolaze skriveni u data stream (ako ih uopšte ima, jer nema nikakve potrebe za tim), a zatim pokrećite povremeno taj data stream viewer da bi otkrili novo nastale.
6. Start -> Programs -> StartUp
Pogledajte startup za All Users i za vašeg user-a, jer iako izgleda glupo, možda neki virus ili trojan stavi link do sebe u ovaj folder tako da kada se svaki sledeći put računar bude palio, pokrenuće se i taj program.
7. Registry
Ja volim da otvorimi Regedit.exe, zatim Edit -> Find
Find what: Run
Look at: Keys
Ovim dobijem neke bezveze rezultate, ali nakon nekoliko pritiska na F3 stignem i do pravih vrednosti.
HKLMSoftwareMicrosoftWindowsCu rrentVersionRun
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnce
HKLMSoftwareMicrosoftWindowsCu rrentVersionRunOnceEx
Zatim kod nekih windowsa:
HKLMSoftwareMicrosoftWindowsCu rrentVersionpoliciesExplorerRu n
HKLMSoftwareMicrosoftWindowsCu rrentVersionAeDebug
HKLMSoftwareMicrosoftWindowsCu rrentVersionImage File Execution Options
HKEY_CLASSES_ROOTexefileshello pencommand
Unutar ovih ključeva se mogu postaviti putanje do virusa i trojanaca koji će se paliti zajedno sa windows-om.
8. Control Panel -> Administrative tools -> Services
Takođe u Services je moguće dodati trojanca ili virus. Naravno uvek ima opcija disable kojom zaustavite i one mogućite taj neki "zli" servis.Posle možete upisati njegovo ime pod kojim se predstavlja u servisima, upisati u regedit.exe Edit->Find ,tako da možete otkriti orginalnu putanju,a naravno možete i izbrisati te registry ključeve.
9. %systemroot%system32drivers
Umalo da zaboravimo, može se pojaviti i "novi" driver za Vas kompjuter.
10. Dokumentacija
Ovo nije posebna tehnika, ali sve što nađete bilo u registriju ili negde drugo, zapišite ime file-a, lokaciju, veličinu, datum kreiranja, pristupanja itd,tako da Vam posle bude lakše prilikom brisanja.
Uklanjanje / brisanje
1. Ako nabavite putanju tog zlog programa, potražite u istom direktorijumu, ili gledajući reči koje se spominju u sadržaju tog zlog momka, potrazite fajlove koji su povezani sa njim, možda koje on koristi kao resurse, u koje smešta logove itd. Čak je moguće da su više tih file-ova povezani, i čuvaju jedni druge. Možete te dodatne iskopirati na neko sigurno mesto za naknadno istraživanje, a zatim ih izbrisati. Ukoliko ste našli da se zli file nalazi u data streamu, ista stvar vredi i za njega, kopirajte ako vam treba, a zatim pokušajte izbrisati. (ako ne možete bilo koji fajl izbrisati,znači da je pokrenut ili ga je neki pokrenuti proces otvorio, [čitajte dalje].
2. Ako je reč o tome da je virus modifikovao neki sistemski file ,onda ga pokušajte zameniti sa Backupom tog istog filea, ugasite računar i probajte:
- DOS butabilnu disketu
- Repair Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računrlu npr. linux
KNOPPIX je takodje dobro resenje
3. Sada smo došli do toga da izbrišemo to "sranje"
Ukoliko doslovno brisanje sa Shift+Delete ne radi ,znači da je pokrenut ili ga je neki pokrenuti proces otvorio. Rešenje možete uzeti iz prethodnog slučaja, tako što ugasite računar i probate:
- DOS butabilnu disketu
- Reapir Console winNT/2000/XP
- Ako imate neki drugi operativni sistem instaliran na istom računaru npr. linux
- KNOPPIX je takodje dobro resenje
4. Postoji jos jedna metoda, koja je takođe efikasna, jer je izuzetno jednostavna i ne zahteva da se pokreće nikakav drugi operativni sistem.
Ukoliko imate NTFS particiju na kojoj se nalazi zli file, a pokrenut je winNT/2000/XP idite u Properties -> Security, a zatim svim korisnicima,SYSTEM, Administrators, i sve što vidite pred očima, stavite Full Access Deny. Iako je program učitan u memoriju ne možete ga brisati ni menjati,možete menjati njegove dozvole, znači stavite svima DENY!!! Sledeći put kada se bude palio Windows ,taj file se neće moci učitati, a zatim ga možete mirno obrisati, nakon što mu vratite dozvole u normalno stanje.