Jak zabezpieczy� si� przed trojanami ! 1. Nie uruchamia� nieznanych program�w. 2. Nie otwiera� za��cznik�w do��czonych do poczty. 3. Nie wchodzi� do internetu. 4. Nie w��cza� komputera. 5. Sprzeda� komputer, lub odda� innym niech si� oni teraz m�cz�. pewnie skads to znacie ... tak, takich wspanialych rad jest od groma i troche sam juz mialem sprzedac kompa :-) bo mnie to do szewskiej pasji doprowadzalo ale przeciez jednak (podkreslam jednak) ten gruchot czasem sie przydaje wiec zaczalem grzebac w tym winszicie usuwac pliki dorabiac biblioteki i zmieniac rejestry na chybil trafil co sie przy tym nainstalowalem windy od nowa (znam juz serial# na pamiec :-) powaga...) to moje ! cale to badziewie ma kilka podstawowych cech i od tego czeba zaczac * po pierwsze kazdy trojan musi sie uruchamiac razem z systemem * po drugie kazdy nasluchuje na jakims porcie oczywiscie jezeli wiemy co sie uruchmia przy starcie to nie ma sprawy jestesmy w 100% bezpieczni ! jest tylko jedno ale ... windows sam uruchamia kilka tzw procesow (najczesciej tym mianem okreslamy programy ale nie zawsze) maja one jakies dziwne nazwy ktore nic nam nie mowia, jakies internaty, systraje, powerprofile, szedulingi e szkoda gadac do rzeczy : jest kilka podstawowych miejsc w systemie ktore uruchamiaja automatycznie wpisany tam program np taki katalog w windowsie 'autostart' (c:\windows\menu start\) ale nie bede sie rozwodzil bo to za proste nieco bardziej ukrytym miejscem jest rejestr w kluczach : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run wystarczy dodac tam sciezke do programu to w tym wlasnie miejscu windows uruchamia swoje procesy i tam tez znajdziemy wiekrzosc trojanow tych starszych oczywiscie :-) wiedzac juz jak sie trojan nazywa i znajac miejsce wystepowania po prostu go usuwamy ... (oczywiscie pod dosem albo chociaz w trybie awaryjnym) lepsze trojany wybieraja sobie juz istniejaca nazwe uruchamianego programu i podszywaja sie pod niego (proste do wykrycia bo program mial sie uruchomic a nie dziala !) nastepna generacja trojanow 'podszywajacych sie' uruchamiala nie tylko siebie ale i program pod ktory sie podszyla racepta na to jest sprawdzenie wielkosci programu uruchamianego i orginalu wszystkie uruchamiane programy (te windowsowskie) znajdziemy na plytce instalacyjnej doktryna compatybilnosci microsoftu wymusila dwie bardzo ciekawe zaszlosci polecenie 'run' i 'load' w pliku win.ini dzialaja one analogicznie do powyzszych wszystkie opisane dziury windowsa bardzo latwo mozna kontrolowac programem msconfig.exe (c:\windows\) poczawszy od wersji 98 sa tam rowniez pliki zwane autoexec.bat i config.sys (c:\) zwykle pliki textowe autoexec sluzy do uruchamiania programow (tylko dos) a config do ladowania sterownikow (tez dosowych) tylko raz spotkalem sie z trojanem ktory wrzucal do autoexec.bat maly programik dosowy dokonujacy modyfikacji rejestru (wpisywal po prostu do wyzej wymienionego klucza swoja nazwe) poco autor tak sie nakombinowal to niewiem :-) ale podobna technike obserwuje coraz czesciej mala modyfikacja polega na uzyciu pliku win.com (plik ten uruchamiany jest domyslnie przez system zebysmy mogli wogule zobaczys windowsa w formie graficznej) naprawde ciezko zlokalizowac trojana uruchamianego w ten sposob jak to dziala ? pamietajmy ze win.com uruchamia programy dosowe maly programik uruchamiany przez win.com wpisuje do rejestru sciezke i nazwe wlasciwego trojana rejestr uruchamia trojana juz jako program windowsowy a pierwsza czynnosc trojana to usuniecie wpisu z rejestru (i sladu niema:-) ) odmiany tej techniki sa rozne : win.com uruchamia wininit.exe lub z parametrem wininit.ini (wykozystuje to program instalacyjny microsoftu i ddhelp.exe) oczywiscie nie ma sesu sprawdzanie co chwile czy przypadkiem win.com lub wininit czegos nie uruchamia najpierw trzeba miec jakies podejzenia ... (albo chociaz przeczucia) przeczucia dziela sie na dwie gropy : * przeczucia nieuzasadnione (nieodparte uczucie ze ktos nas obserwuje .. itd) - po prostu udajemy sie do lekarza * przeczucia uzasadnione (wysowajaca sie kieszan CDRom, glupie komentarze systemu pod naszym adresem .. itd) - sprawdzamy czy mie ma przypadkiem trojana podejzenia natomiast powoli powinny przeradzac sie w pewnosc a to zniknely wszystkie pliki z logami a to przez przypadek trafiamy na plik z wszystkimi znakami wcisnietymi na klawiaturze w ciagu ostatniego miesiaca a to trafiamy na pliczek z naszymi chaslami ... a to jakis niezidentyfikowany program laczy sie z netem no jakby nie patrzec trzeba cos robic ! ale co ? sprawdzamy jakie porty sa otwarte w naszym kompie najprosciej zrobic sobie taki plik z rozszezeniem .bat a w nim: :go netstat -a pause goto :go no tak, ale windows sam otwiera kilka portow i nic w tym groznego ! jak odroznic te otwierane przez trojany ? nie mozna ! owszem starsze trojany mialy standardowe porty na ktorych nasluchiwaly clienta spis tych portow mozna znalesc bardzo latwo na wiekrzosci stron poswieconych temu tematowi nowsze trojany maja mozliwosc recznego ustawienia portu wiec kazdy jest jednakowo podejzany zreszta w tym temacie jest jeszcze wiele nieprzetartych drog jedynym sposobem jest zalozenie sobie jakiegos firewall'a (temu tematowi poswiecono tyle textow ze ja na szczescie juz nie musze !) dopiero w momencie polaczenia sie servera (czyli programu w naszym kompie) z clientem (czyli programem oprawcy) mozemy cos zdzialac przede wszystkim jezeli nie mamy zadnego programu logujacego polaczenia zapiszmy IP komputera ktory sie z nami laczy zapiszmy na jakim porcie przystapmy do usowania trojana najpierw ustalamy ktory to program i gdzie sie znajduje przede wszystkim uruchamiamy komputer w trybie dos lub awaryjnym na podstawie powyzszych sposobow uruchamiania trojanow przeszukujemy dziury windowsa pod katem niezidentyfikowanego programu po znalezieniu - usuwamy ! prawda jakie to proste :-) pamietajcie znajomosc systemu chroni mas w 100 % pozdro BaaS sugestie, pytania i krytyka : baas@poczta.onet.pl naklad : 1 egz. druk : brak wydawca : brak napisane dla achates 20:11:2001
tomasz-wloch