Temat: [Poradnik] Domowe sposoby zwalczania wirusow/trojanow/keyow/whatever by Masterossi

Ten poradnik jest włanością tylko i wyłącznie moją własnością, jednak jest oparty na moich doświadczeniach, wiedzy zdobytej u progmaniaka®™ oraz na jego poradach, i po czesci na kilku artykułach z innych stron, jednak wszystko co zapożyczyłem innych stron jest odpowiednio oznacze, a w ten sposób nie naruszam praw autorskich.. Mogę tu wymienić pcformat.pl , gdyż ludzie na forum mają tam sporą wiedze i troche sie na tym nauczylem.

Poradnik kierowany do użytkowników Windowsa Xp/Vista. Niektóre części poradnika mogą nie działac na systemie Windows Vista, gdyż pisząc poradnik używałem XP i programów do niego przystosowanych.




1. Wirus - niekoniecznie coś złego.
2. Backdoory i exploity.
3. Rootkit - ale co to?
4. Keylogger - postrach tibijczyka
5. Co ukryło się w Windowsie?



1. Ochrona i korzystanie na co dzień
2. Zwalczanie.



Let's go.


Wirus(źródło : pl.wikipedia.org )
Ups, to chyba nie to. = ]

Wszystko się zgadza,jednak conieco trzeba omówić.
Wirus to program, który się powiela, a nie który coś uszkadza. Czasem można to wykorzystać w ''dobrej woli'', ale zdarza się to bardzo rzadko.
Najczęściej wirus to właśnie szkodliwy program, który robi coś, czego użytkownik nie chce, na przykład zaśmieca dysk, blokuje pocztę lub blokuje dostęp do danych zasobów dysku twardego, więc nie ma nic złego w nazywaniu robaków komputerowych wirusami.

Dosyć teorii, teraz omówmy różne rodzaje robactwa.


Backdoor ( źródło : pl.wikipedia.org )
Exploit (źródło : pl.wikipedia.org )
Tyle nam w zupełności wystarczy.

Na początek muszę wspomnieć o wykorzystywaniu pulpitu zdalnego jako backdoor. Działa to tak : potencjalny cracker zdobywa wiedzę o komputerze ofiary, wysyła teoretycznie nieszkodliwy plik, ofiara otwiera go, a backdoor konfiguruje pulpit zdalny i podłącza go do sieci, dzięki czemu cracker ma dosyć duży dostęp do komputera ofiary.

Ta metoda jest na szczęście rzadko używana, gdyż konfiguracja wymaga ingerowania w zasoby systemu, o czym powiadamia czesto firewall, i wymaga to dużej wiedzy o robactwie.

Niestety nie ma możliwości ochrony przed exploitami, poza uaktualnieniem oprogramowania. W każdym jakiś cracker znajdzie jakieś niedociągnięcie, które można wykorzystać.

Najlepsza rada to nie używać IE. Zwłaszcza w wersji 6.0.

Inaczej ma się z backdoorami. Sposoby ochrony babci Halinki :
• Zablokować pocztę w systemie (Outlook itp.). Może to być bolesne, jednak wiele backdoorów korzysta z poczty. Korzystamy wtedy z gmaila/hotmaila/yahoo/czegokolwiek
•Odinstalować/nie używać MSN-a, jeśli to możliwe. Wiem, że niektórzy robia world pacc selling etc. ale jeśli nie używamy - odinstalować.
•Nie ściągać plików z nieznanych źródeł (pobierztoplx.pl ). Jeśli coś pobierasz, sprawdź czy nie ma wersji na stronach jak np. instalki.pl lub idg.pl
•Jeśli już złapiesz backdoora, i jesteś tego pewien użyj narzędzi, które opiszę później.
To tyle o backdoorach i exploitach.


Rootkit (źródło pl.wikipedia.org )
Wiele trojanów/backdoorów itp. są połączone z rootkitami, np. niektóre wersje Win32.Sality. Mowa tu głównie o ukryciu menedżera zadań i edytora rejestru, mimo praw administratora. Ciężko się przed tym ubezpieczyć, ale nie jest trudno to zwalczyć. Polecę wam dwa programy.
Pierwszy z nich :
Rootkit Unhooker by system32

Drugim jest program GMER. Nawet jeśli menedżer zadań/regedit są zablokowane pokazuje on procesy + ich drzewa oraz procesy ukryte, edytor rejestru i pare innych ciekawych modułów. Jednak mi na XP proffesional czasem robi bluescreena,nie wiem czemu.
Link podam na koncu.


Keylogger ( źródło : pl.wikipedia.org )
Tyle wystarczy. Po prostu program który rejestruje ruchy klawiatury.
Błędnym myśleniem jest, że keyloggery rejestrują tylko ruchy klawiatury,a ignoruja myszke. Nowsze keyloggery rejestrują ruchy klawiatury i myszki. Niektóre mają też możliwość robienia screenów co x czasu. Po prostu należy nie ściągać tibia hax gp maker to ci da lv.exe.com.bat

Tu chodzi mi tylko o kilka krótkich zdań. Więc tak
Robaki często ukrywają się w C:/Windows lub C:/Windows/System32
, ale nie jest to reguła i wirusy moga sie znajdować też w C:/Documents and setting/Nazwa/Ustawienia Lokalne/temp i w innych lokalizacjach.
Często wirusy podszywają się nazwą pod procesy systemowe (WINLOGON i WINL0GON lub lsass.exe i lssas.exe ) więc jeśli nie jesteśmy pewni nazwy wklepujemy ją w google i sprawdzamy czy jest poprawna.
Uważamy też na proces services.exe ! Jest to proces systemowy i znajduje się w C:/Windows/System32
A robaki które to wykorzystują siedzą zazwyczaj w C:/Windows !
Tak samo jest z procesem ,,svchost.exe" ale nie bojcie sie, jesli macie ich duzo, gdyz system powinien miec wlaczony ten proces ok. 5 razy, ale jesli wedlug was jest ich za duzo, przeskanujcie komputer.
Więc uważamy na nazwy i tyle wystarczy.

Może zaczne jednak od ochrony...



Żeby niczego nie złapać potrzeba tylko mózg. Dla mniej wtajemniczonych przyda sie jeszcze firewall + antywirus. Możemy też zainstalować pakiecik security, np Kapersky Internet Security 2007 (nowsze wersje sa dosc slabe) lub PC Tools Internet Security 2008/2009 (dla mocniejszych komputerow,bo czasem muli). Do tego czasem skanować komputer programem ComboFix (jesli sam nie usunie to zrobi ladny log) i HijackThisem + dawać log do odpowiedniego tematu na torgu lub pcformat.pl . Taka ochrona zapewnia nam bezpieczeństwo na poziomie, który określam jako dobry - przeciwko durnym 12letnim hakerom wysylajacym nam czity do ceesa lub klonofanie kasy f tipji to wystarczy, ale jesli jakis naprawde doswiadczony cracker by sie na was uwzial to lepiej wyjac dysk twardy ; dd.
Morał : Skanujemy co jakiś czas ComboFixem i HijackThisem, a nic nam nie zagrozi.



Jeśli jesteśmy pewni, że złapaliśmy, a z jakichś powodów ComboFix ich nie usunal (w koncu jest od robienia logow a nie od usuwania zlych rzeczy), bo ściągnął nam brat, bo nie wiedzieliśmy co to, bo bawiliśmy się w hakerów, bo klonowaliśmy kasę w tibii/whatever, to robimy co następuje.

ComboFix + analiza go[manualnie]. Jeśli sami się na tym nie znamy wklejamy log na jakąś strone z obeznanymi ludźmi.
HijackThis + analiza loga manualnie lub na stronie. Pamietajcie,ze strona nie zawsze mowi prawdę = ]. W hijackThisie sprawdzamy też czy ComboFix dobrze usunął syfa,ewentualnie fixamy to.

Uwaga - jeśli po usuneciu tychże syfow lub jeśli w/w programy ich nie znajduja, sciagamy sillent runners ze strony http://www.silentrunners.org
Pamiętajmy, że Sillent Runners to nie program antyspyware tylko program do robienia logów i nie ma rozszerzenia *.exe tylko *.vbs.

Linki do ściągnięcia różnych opisanych i nieopisanych programów. Podaję linki do stron głównych danych programów(o ile znam) a nie bezpośrednio do ściągania.

Rootkit Unhooker - potężne narzędzie do zwalczania rootkitów. Podaję link do tematu użytkownika system32.
http://forum.tibia.org.pl/showthread.php?t=313622

Gmer - program antyrootkitowy, pomocny, gdy rootkit zablokuje menedżer zadań i edytor rejestru, pokazuje tez ukryte procesy,moduły i wątki.
http://www.gmer.net/index.php?lang=pl

HijackThis (analizowanie logów na tej samej stronie) - program do usuwania spyware'u i innych robaków. Umie robić logi i można je analizować na stronie.
http://www.hijackthis.de/en

ComboFix (Sorry Winnetou ale nie znam strony głównej) - narzedzie do robienia logów i usuwania robactwa. Mimo, że jest bardziej od logów to jest w stanie usunąć wiele silnych robaków.
http://www.programosy.pl/program,combofix.html
Kilka informacji by Myszak z pcformat.pl

SillentRunners - dobre narzędzie do tworzenia logów - robi logi,ale nie usuwa plikow,jest to skrypt w vbs (visual basic script).
http://www.silentrunners.org

KillBox - przydatny program, usuwa nawet włączone pliki, jeśli nie może to usuwa przy włączaniu pc.
http://killbox.net/

xpAntispy - program, wbrew nazwie nie antyspyware,lecz program blokujacy rozne moduly systemu Windows Xp - raporty o wyslanie do Microsoftu, przypomnienia,blokowanie niektorych rzeczy w IE, i ważna rzecz pokazywanie rozszerzeń plików - nikt nie zapisze ci *.exe z ikonką obrazka!
http://www.xp-antispy.org/
Jednak polecam ściągnąć polską wersję.

Spybot Search & Destroy - popularny i skuteczny program do zwalczania spyware, bardzo dobrze wykrywa syf. Link do strony głównej
http://www.safer-networking.org/pl/index.html

CCleaner - czysci rozne rzeczy w systemie, m.in. rejestr.
http://www.ccleaner.com/



Ważne!
Jeśli nie masz pewności do jakiegoś pliku, skanujemy go na stronie http://virusscan.jotti.org lub http://virustotal.com .


Kilka ważnych tematów z pcformat.pl! Warto przeczytać!

Szczepionki, opisy, porady... by Amandi z pcformat.pl
http://forum.pcformat.pl/thread-4523.html
Polecam, jak naprawić menedżer zadań lub edytor rejestru przez plik *.reg

Przydatne programy by Myszak z pcformat.pl
http://forum.pcformat.pl/thread-4505.html
Opis wielu przydatnych programów do czyszczenia.

Rootkit - czy go mam? by Amandi z pcformat.pl
http://forum.pcformat.pl/thread-8504.html
O rootkitach nieco więcej, czyli rzucamy światło na rootkity. Amandi opisał rootkit jako po prostu 'groźny wirus'. Jednak jest w tym troche prawdy, ale jest kilka programów do usuwania Rootkitów.

Silent Runners - opis by Amandi z pcformat.pl
http://forum.pcformat.pl/thread-4563.html
Wszystko o Silent Runners.

Hijack This - opis by Amandi z pcformat.pl
http://forum.pcformat.pl/thread-1143.html
Coś więcej o HijackThis.

Szukasz antywirusa - to dobrze trafiłeś. by Myszak z pcformat.pl
http://forum.pcformat.pl/thread-7754.html
Spis wielu antywirusów + skanerów online


Cóż, to chyba tyle, jeśli macie jakieś sugestie,porady, znaleźliście błędy lub cokolwiek - napiszcie na pw/gg/w temacie.
Pozdrawiam, Masterossi!


credits:
wikipedia
kilka osób z pcformat.pl
Ymek za przypomnienie o virustotal.com
progmaniak, za wiedzę, którą u niego zdobyłem
Masaker, za napisy graficzne ;x



#down
napisałem to w pewnym momencie,ale skoro prosisz ;D

#Mistyk
owntibia juz jest w nowych bazach danych antywirusow. a to co robi w ,,chron przed owntibia w przyszlosci" to po prostu edycja 2ch stron i artykul jest o tym nawet,jak zablokowac owntibie w propozycjach.

Zlinkowałem do pcformata,bo nie ma sensu kopiować poszczegolnych rzeczy stamtad. Programy które wymieniłeś znajdują się w w/w linkach. Lepiej skopiować cały art,rozciagnąć stronę i sie cieszyc lamiac prawa autorskie? Wole odlinkować do strony,na której jest wiele madrych rzeczy bez potrzeby robienia ctrl+c - ctrl+ v
pare osob nie umie czytac logow,wiec do tych co nie umią pisze co robic, ci co umieją sami beda wiedzieli ;p
wiadomo ze wszystko sie zmienia,ale moze na jakieś pół roku to starczy,poza tym narzedzia maja updatery nie? ; d

#down
na zyczenie ; o Ale Xp Repair Pro nie dam, bo to uzupelnia bugi w systemie, a nie usuwa wirusy.