ToTeK |
Wysłany: Pią 12:00, 14 Kwi 2006 Temat postu: Na tropie wirusów i Trojanów :P |
|
Zapewne każdy z nas wie o tym, że świat komputerów z każdej strony otoczony jest przeróżnymi wirusami i trojanami. Niestety, nie wszystkie mogą być wykryte przez nasze programy antywirusowe. Dlatego też, zapraszam wszystkich do przeczytania poniższego artykułu, który podpowie nam jak pozbyć się niewykrywalnego przez komputer natręta.
W większości szkodników aktywowane są one podczas startu systemu operacyjnego. Dlatego też właśnie temu momentowi bliżej się przyjrzymy.
1. Folder Autostart
Za każdym razem, gdy uruchamiamy komputer, system Windows otwiera wszystkie elementy z folderu Autostart. Katalog ten położony jest w Menu Start => Programy => Autostart. Proszę jednak zauważyć, iż nie powiedziałem "uruchamia" każdy program z tego folderu. "Otwiera wszystkie elementy" - w tym wypadku słowa te są kluczowe. Dlaczego?
Programy umieszczone w folderze "Autostart" oczywiście zostaną uruchomione podczas startu systemu. Jednak co się stanie jeżeli umieścimy tam jakiś skrót lub inny plik? (zauważ że skrót nie jest programem!) Okazuje się, że ten także zostanie wykonany. Dla przykładu umieśćmy tam dokument Microsoft Word. Po odpaleniu komputera automatycznie uruchomi się nam Word. Jeżeli umieścimy plik WAV to uruchomi się nam nasz domyślny odtwarzacz multimedialny.
Z powyższych przykładów zauważyć możemy, że praktycznie wszystko można uruchomić w ten sposób. Sytuacja taka bardzo sprzyja twórcom wirusów i trojanów. Bardzo często w ten sposób uruchamiane są różne robaki. Przykładem mogą być także różnego rodzaju dialery, które kopiują swój plik startowy do katalogu "Autostart".
2. Rejestr Windows
Kolejnym bardzo ważnym elementem jest rejestr Windows. Posiada on wiele sekcji, które definiują czynności wykonywane przy starcie systemu. Dlatego też powinniśmy sprawdzić takie sekcje jak "Run", "RunServices", "RunOnce", RunServicesOnce". Jeżeli w jednej z nich znajdziemy jakieś niepewne wpisy, bezpośrednio wskazujące na obecność natręta, powinniśmy je usunąć.
Poza tym Windows wykonuje instrukcje w innych sekcjach:
HKEY_CLASSES_ROOTexefileshellopencommand "%1" %* - wpis ten spowoduje uruchomienie jakiegoś polecenia gdy uruchomimy jakąś aplikację exe.
Inne możliwości:
[HKEY_CLASSES_ROOTexefileshellopencommand] =""%1" %*"
[HKEY_CLASSES_ROOTcomfileshellopencommand] =""%1" %*"
[HKEY_CLASSES_ROOTbatfileshellopencommand] =""%1" %*"
[HKEY_CLASSES_ROOThtafileShellOpenCommand] =""%1" %*"
[HKEY_CLASSES_ROOTpiffileshellopencommand] =""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand] =""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] =""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] =""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileShellOpenCommand] =""%1" %*"
[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] =""%1" %*"
Jeżeli klucze nie posiadają ciągu ""%1" %*" i są zmienione do wykonania jakiegoś polecenia ""nazwapliku.exe %1" %*" oznacza to że polecenie zostanie wykonane tylko w przypadku uruchomienia programu o nazwie "nawapliku.exe"
3. Pliki wsadowe
Windows wykonuje wszystkie instrukcje zawarte w pliku wsadowym o nazwie WINSTART.BAT, który umieszczony jest w katalogu z Windows. Praktycznie dla wszystkich użytkowników Windows oraz większości ekspertów, plik ten w ogóle nie istnieje. Taka wiedza daje bardzo dużo możliwości potencjalnemu atakującemu.
4. Pliki inicjalizacyjne
Podczas uruchamiania systemu, Windows wykonuje także wszystkie polecenia z linijek "RUN=" oraz "LOAD=" wpisanych w pliku WIN.INI (znajduje się on w katalogu, gdzie zainstalowałeś Windows).
Poza tym kolejnym parametrem pozwalającym na odpalenie niepowołanego programu jest "shell=" znajdującym się w pliku System.ini lub c:windowssystem.ini:
[boot]
shell=explorer.exe C:windowsnazwapliku
5. Harmonogram zadań
Kolejnym elementem może okazać sie harmonogram zadań. Powinniśmy sprawdzić czy nie ma tam żadnych niepożądanych zdarzeń.
6. Metoda c:explorer.exe
Podczas ładownia Windows odczytuje plik explorer.exe z katalogu c:Windows. Lecz gdy tylko będzie istniał odpowiednio zmodyfikowany plik (explorer.exe) w głównym katalogu naszej partycji systemowej to zostanie on załadowany zamiast oryginalnego. Dzieje się tak, ponieważ takie rozwiązanie Microsoft wprowadził na wypadek uszkodzenia pliku explorer.exe z katalogu Windows.
Łatwo zauważyć, iż bardzo łatwo jest podrzucić trojana o nazwie explorer.exe,który na pewno zostanie uruchomiony podczas startu systemu.
Podsumowanie
Artykuł ten opisuje tylko kilka sposobów jak sprytnie ukryć uruchamiane programy. Oczywiście nie zawsze muszą to być jakieś trojany czy inne robaki. Mimo wszystko powinniśmy sprawdzić, czy przypadkiem nie posiadamy cichego przyjaciela, którego nie widzi nasz program antywirusowy |
|