offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Borba protiv napasti novog doba - nepozeljnih programa na vasem kompjuteru
Predgovor:
Ranije smo ih nazivali virusima, danas je dijapazon njihovog dejstva tako raznovrstan da je neminovno podeliti ih u preciznije odredjene grupe.
Opsteprihvacen naziv za sve nepozeljne programe je 'maliciozni programi' (eng. malware).
Mozemo ih podeliti na:
Virusi
Programi koji se 'ugradjuju' u druge programe (korisne). Ovaj fenomen nazivamo infekcijom, jer savrseno bezopasan program bude inficiran programom koji moze ugroziti bezbednost sistema. Osnovne odlike virusa su da traze sledeci program koji ce da inficiraju, i kao drugu svrhu imaju operaciju koja ce biti izvedena kada se zadovolji neki unapred odredjen uslov (primer: obrisati nesto na odredjen dan).
Trojanci
Zvanicna definicija trojanca je 'program koji pored dokumentovanih mogucnosti ima i skrivene funkcije'. Lako se moze videti iz definicije da pola danasnjih programa na trzistu mozemo svrstati u ovu grupu, pa cak i vas omiljeni Operativni Sistem.
U uzem smislu reci, pod trojancima podrazumevamo samo grupu koja moze naneti stetu vasem sistemu.
Crvi
Za razliku od prethodne dve grupe, crv se sam inicira (startuje). Trojanac i virusom inficiran program su u mirovanju (neaktivni) sve do momenta dok korisnik ne pokrene program koji ih sadrzi.
Naravno da zvuci neverovatno da crv moze sam da se startuje na inficiranoj masini, ali nikakve magije tu ne postoji.
Propusti u pojedinim programima, ili u samom operativnom sistemu, ukoliko se iskoriste na pravi nacin (ovo se zove Exploiting code), mogu kao nus-reakciju da izazovu pokretanje drugog programa.
Crv je u momentu pristizanja na novu masinu samo paket, koji sam ne moze da se otvori. Sa one masine sa koje je crv stigao, aktivna kopija crva ce na novozarazenoj masini da aktivira pristiglog crva na nacin na koji smo gore opisali.
Adware/Spyware
Grupa malicioznih programa vezanih iskljucivo za internet. Cilj ove grupe je ili da vas bombarduje reklamama, ili da sakuplja podatke o vasem obitavanju na internetu, sve u cilju ostvarivanja zarade. Najcesce skupljaju vase lozinke za pojedina sajtove, ili cisto statistiku koje sajtove koliko cesto obilazite.
Naravno da od toga imaju koristi. Razmislite samo kako se planira gde ce da se postavi neka reklama, i kako se racuna cena reklamnog prostora - oba parametra su vezana za posecenost te lokacije.
U zadnje vreme je jako tesko povuci crtu izmedju svih ovih grupa, posto noviji maliciozni programi imaju osobine kombinovane iz razlicitih grupa.
Cesto cete cuti da je neka AV kompanija nesto proglasila za Adware, dok isti taj program neka druga firma tretira kao Trojanca.
Ovo su jako grube podele, i objasnjene su tek ovlas, koliko da bi se steklo neko osnovno znjanje o pojmovima kojima cemo baratati kasnije.
Pokusacu, koliko je moguce vise, da se ne osvrcem na istorije pojedinih vrsta zaraza, da se ovaj tekst ne bi oduzio u nedogled.
Cilj ovog teksta je kako se u danasnje vreme odbraniti od malicioznih programa koji nam prete, tj. o tehnikama borbe.
Pricamo samo o Windows operativnom sistemu, kao najugrozenijem, a i najbusnijem sistemu na trzistu.
Svi znamo sta su Antivirus programi, ili smo barem culi za njih.
Red je sada da objasnimo jos neke stvari koje po mom misljenju potrebno da znate.
PRAVILO br.1: Antivirus program se instalira na sistem pre nego sto sistem bude zarazen. Antivirus programi su dobra preventiva, tacka (kontate sta nedostaje).
Sto se racunara tice, 'automatsko lecenje' od virusa bilo kakvim programom je fikcija. Tvrdim, u 50% slucajeva vam AV program ne moze pomoci ukoliko je vas sistem vec zarazen. Iz ovog razloga, drzite se prvog pravila.
Desava se, naravno, da sistem bude zarazen iako ste se drzali pravila br.1. To znaci da je maliciozan program bio nepoznat vasem AV programu u momentu kada je zarazio sistem. Kasnije je vas AV program kroz Update dobio odgovarajuce definicije, i tek tada prepoznao novu napast. Sada dolazi na red jos jedno pravilo...
PRAVILO br.2: Napasti/malware sa zarazenog sistema se efektivno uklanjaju tek u Safe Mode radu Windowsa.
U Safe Mode se ulazi na sledeci nacin: pri podizanju sistema, odmah nakon tekstualnih poruka koje ispisuje BIOS, a pre pojavljivanja logoa sa linijicom koja se puni, treba pritisnuti F8 na tastaturi. Od ponudjenih opcija odabrati Safe Mode. Videcete malo drugacije okruzenje od uobicajenog. Pokusajte sada da u Start meniju pronadjete vas omiljeni AV program i pokusajte da ga startujete. Namerno sam rekao 'pokusajte da ga startujete', posto postoje AV programi koji ne rade u SafeMode. Vas nece da se startuje? Sta da vam kazem, kupite drugi AV program.
Sta je SafeMode?
U ovom modu rada, Windows startuje samo one najosnovnije servise koji su mu potrebni za funkcionisanje. Maliciozni programi u ovom modu nece biti startovani zajedno sa Windowsom. Ovo je bitno zato sto AV programi ne mogu da uklone napast ukoliko je ona vec u memoriji (laicki receno). Ovo nije generalno pravilo, ali maliciozni programi u zadnje vreme imaju razvijen mehanizam kojim se brane od uklanjanja iz memorije, tako da su AV programi bespomocni u normalnom rezimu rada Windowsa.
U Safe Mode vec ima nade da ce moci da ih dokrajce, posto njihov sistem zastite egzistencije u ovom rezimu ne bi smeo da bude aktivan.
Do skora je svaki onaj koji je umeo da udje u Safe Mode zaradjivao kintu cisteci drugima sisteme od zaraza. Prosla su i ta vremena...
KATASTROFA br.1: - postoje maliciozni programi koji su aktivni i u Safe Mode!!!
U zadnje vreme sam se nagledao napasti koje funkcionisu i u SafeMode. Moracu malo da se osvrnem na neka desavanja da bih objasnio ovaj fenomen.
Vecina zna za RegEdit, to je program koji dolazi sa vasim Windowsom, i njime podesavate (editujete) Registry bazu (MS-ovu izmisljotinu koja je proglasena za promasaj veka u dizajnu operativnih sistema).
Dozvolite da vas obavestim da RegEdit ne pokazuje kompletnu Registry bazu. MS je sebi osigurao skriveni kutak u Registry bazi koji njihov RegEdit ne pokazuje. Tu su neka podesavanja samog operativnog sistema, kao i neka podesavanja vezana za Internet Explorer.
Malo vezano za to, a malo za neke druge stvari, pronadjen je mehanizam kojim maliciozan program moze sebe da proglasi za tako vaznim za sistem, da ce biti startovan i u Safe Mode.
Kako se boriti protiv ovoga, to cemo malo kasnije (mora se rucno).
PRAVILO br.3: Virusi/trojanci/crvi su jedna grupa malicioznih programa, Adware/Spyware su druga grupa - nemojte ih svrstavati u isti kos.
Zasto? AV programi se prvenstveno bore protiv prve grupe, dok za drugu grupu postoje drugi programi.
Moj AV program nalazi obe grupe. - U redu, ali to je ekstra mogucnost tvog programa, a ne obavezna.
Skenirao sam komp sa AdAware i SpyBot-om i nista nije nasao, a opet imam problema. - U redu, a jesi li ga skenirao i nekim AV programom (zbog prve grupe malicioznih programa)
Skenirao sam komp KAVom/NODom/.../ i nije nista nasao, a opet imam problema. - Sve je to lepo, ali jos uvek mozda imas neki Adware, sto nije specijalnost tih programa koje si koristio.
PRAVILO br.4: omogucite AV programima da lakse odrade svoj posao. Pre skeniranja ispraznite cache vaseg browsera i temp foldere. Jedan je c:\windows\temp, drugi je c:\Documents and settings\{ime korisnika}\Local Settings\Temp. Ovaj drugi necete naci ukoliko koristite Explorer, ali ga zato Total Commander (i jos pregrst drugih programa) vidi.
PRAVILO br.5: Red je da vec jednom iskljucite System Restore jer od njega imate vece stete nego koristi (Control Panel> System> System Restore> Turn Off System Restore on all devices). Dzaba ce AV da ukloni napast, kada ce gl*pi System Restore odmah da napravi rezervnu kopiju te napasti, da se nadje, za svaki slucaj...
KATASTROFA br.2: Aaaa, RadLight/DivXPro/XYZ vise ne rade posle ciscenja - Naravno da ne rade kada niste citali licence dok ste ih instalirali.
Dosta besplatnih programa, ili besplatne verzije komercijalnih programa dolaze sa 'propratnim programima' na ciju instalaciju sami pristajete kada kliknete 'I Agree' pri instalaciji. Pise tamo lepo da program nece vise da radi ukoliko uklonite njegove propratne programe.
Resenje: Nadjite program koji je stvarno free, ili platite za verziju bez propratnih programa, ili... citajte licence kada pristajete na njih.
KATASTROFA br.3: XY antivirus mi je nasao trojanca u fajlu kjhgf.dll, ja mu zadam da ga obrise, a onda se odmah nakon toga isti trojanac pojavi u fajlu trfhjk.dll (uvek daje nasumicna imena)
- Eh, to samo znaci da tvoj AV nije nasao sve procese te zaraze.
Da razjasnimo: trojanac/virus/sta-god ne mora da se sastoji od samo jednog fajla, i od samo jednog procesa u memoriji. Ako vas AV program ume da prepozna samo jedan od procesa, to vam nece puno pomoci. Drugi proces, koji nije prepoznat, ce odmah nakon unistenja fajla prvog procesa da formira novi fajl i novi proces. Uglavnom je situacija da samo jedan od procesa stiti ostale, ali sam vidjao situacije gde svaki proces trojanca stiti ostale procese.
Zbog ovakvih situacija je potrebno da se protiv ovakvih programa borite iz Safe Mode-a, jer tamo po pravilu ni jedan proces trojanca ne bi smeo da bude aktivan, samim tim ne mogu da se medjusobno stite.
KATASTROFA br.4: Sve sam to uradio, Safe Mode..., nadjena su tri fajla, sva tri obrisana, ali sam opet zarazen kada se vratim u normalan mod rada Windowsa.
To samo znaci da je jedan fajl ostao toliko dobro sakriven da vas AV nije obrisao sve sto se treba obrisati. Nista cudno, desava se svaki dan, sa svim AV programima.
ANTI-KATASTROFA br.1: Najbitnija stvar u borbi protiv gornjeg primera je da znate datum i vreme prve detekcije, kao i datum zadnjeg gasenja racunara (ukoliko je malware takav da se instalira kao sistemski servis, pa mu treba restart).
Zvuci malo nebulozno, ali je ovo najbitnija stvar za rucno otklanjanje virusa/trojanca/kompletnog_windowsa sa vaseg kompa.
Ovo sto sledi nazivamo POSTUPAK U SLUCAJU KATASTROFE (ne razbijaj staklo u slucaju nuzde)
Par sledecih redova nisu preporuceni ljudima koji neznaju sta rade i neznaju sa cime se hvataju u kostac. Operacije koje cu opisati mogu totalno onesposobiti vas operativni sistem, i moze imati ponovnu instalaciju Windowsa kao posledicu. Takodje mogu uticati na rast cena zejtina na crnom trzistu (samo sto to jos nisam dokazao)
Sve ovo sto cu sada opisati je posledica toga sto sam protivnik recepta 'FORMAT C:\' (odatle ono 'ne razbijaj staklo u slucaju nuzde').
Potrebni alati:
- Total Commander - neophodan
- Registry Cleaner-i (moj izbor su jv16, RegSupreme i Registry First Aid)
- sekundarni muski ponos, u duplikatu se nalazi odmah ispod primarnog muskog ponosa
Manje potrebni i manje poznati pomocni alati:
- Process Explorer - http://www.sysinternals.com/Utilities/ProcessExplorer.html
- File Monitor - http://www.sysinternals.com/Utilities/Filemon.html
oba su freeware, za razliku od onih gore koji su shareware
Dok ste jos u normalnom rezimu rada, pokrenite Process Explorer i zabelezite imena svih onih procesa u koje sumnjate (neznate njihovo poreklo).
Za svchost procese pogledajte sa kojim programima su vezani (Process i Thread u donjem prozoru).
Isto vazi i za explorer.exe i za iexplore.exe. Ova tri procesa su najcesce zrtve za sakrivanje malicioznih procesa.
Program Process Explorer ce pri startovanju da se buni da mu nedostaje Microsoft Debuginng tool (25mb za skidanje). Nije neophodno to instalirati jer nama zavrsava posao i bez toga.
Prelazimo sada u Safe Mode. Startujemo Total Commander i podesimo ga (ukoliko vec nismo). Treba podesiti da prikazuje skrivene fajlove (U Configuration>Display chekirati Show Hidden/System Files).
Idemo sada na opciju Search u Total Commanderu. Kod mene se nalazi pod Commands>Search.
Na prvu karticu ne upisujemo nista vec prelazimo na karticu Advanced.
Prva opcija je 'Dates between', nju chekiramo, i u sledeca dva polja upisujemo datum kada smo zarazeni (oba polja isti datum), a nakon toga, u drugoj pretrazi, datum zadnjeg gasenja racunara (spomenuo sam gore zasto).
Pretraga moze da potraje, zato slobodno stavite za kaficu.
Iz liste fajlova koje je nasao da odgovaraju kriterijumu, interesuju nas oni koji se nalaze u Documents and Settings, i u folderu Windows kao i u svim njegovim subfolderima. Interesuju nas tipovi fajlova koji mogu da nose zarazu i da je sire dalje (exe, com, dll, pif, bat, js...)
Startujte sada jos jedan Total Commander (da ne biste u prvom gasili listu fajlova iz pretrage), i udjite u prvi folder u kome se nalazi neki od fajlova sa liste koju smo dobili.
Nadjite taj fajl i kliknite na njega desno dugme i zadrzite dugme sve dok se ne pojavi Menu. Tu odaberite Properties. Idite na karticu Version ukoliko postoji. Tu mozete saznati zanimljive podatke o fajlu, a mozda neki budu i sumnjivi (poznato ime firme koja pravi adware, recimo 180solutions itd). Smisleno zakljucite da li je taj fajl deo nekog programa koji imate instaliran ili nije. Svi oni exe i dll fajlovi koji nemaju karticu Version, uz to jos odgovaraju i datumu kada smo se zarazili, su SUMNJIVI.
Moj metod je da napravim poseban folder (karantin), u njemu subfoldere cija me imena asociraju na ime foldera u kome sam nasao sumnjiv fajl (da bi znao gde da ga vratim ako sam pogresio), i onda sve sumnjive fajlove prebacim u taj folder (naravno, prvo ih analiziram na gore spomenut nacin)
Kada izdvojim sve sumnjive fajlove, onda restartujem komp u normalan rezim rada i vidim rezultate.
Naravno da cu da dobijem par poruka o greskama za sve one fajlove koji nedostaju, a trebali su da budu startovani zajeno sa Windowsom. Za otklanjanje ovoga sluze gorespomenuti Registry cleaner-i, ali nemojte zuriti sa ciscenjem - prvo se uverite da svi regularni programi rade. Ukoliko ocistite registry, vracanje fajla iz karantina nece da pomogne da osposobite program kome taj fajl nedostaje jer ste unistili referencu u registry bazi.
Obratite paznju kako vas program za ciscenje registry baze radi - ukoliko pokusava da nadje fajlove koje ste premestili, onda niste nista uradili, tj. zabrljali ste. JV16 moze da brise iz reg baze bez da proskenira ceo HD u potrazi za fajlovima cije su reference nevazece. RegSupreme obavezno trazi fajlove, dok RFA to radi u step2 koji se moze prekinuti da bi se izbegla katastrofa ponovnog referenciranja malicioznih fajlova.
Mislim da je svima jasno da ovo ne pomaze u slucajevima kada su u pitanju maliciozni programi koji su aktivni i u Safe Mode.
Za njih postoje napredne tehnike, a sve one podrazumevaju da se ciscenje radi sa sistema koji nije zarazen. To znaci - ili zakacite HD na komp koji nije zarazen (naravno, kao sekundarni HD, da se sistem ne podize sa njega), pa odatle cistite, ili nabavite (kupite/napravite) sebi kopiju Windowsa koji radi sa CD-a (WinPE, BartPE, ERD Commander, Avast Bart...).
Ako bih sada krenuo da vam pisem o tim sistemima, onda bih za ovaj tekst morao ili da naplacujem, ili da vam ubacim Adware (da bi mi se isplatio trud)...
Tehnike zastite u svakodnevnom krstarenju Internetom, bez gubutka udobnosti:
1. Nemojte koristiti Internet Explorer. Em je busan ko Svajcarski sira, em ga kolje ActiveX tehnologija, jer je busna kao koncept. Imate alternativne browsere na svakom cosku (CD-i iz casopisa, internet, komsija...)
2. Nevolja ne trazi zrtvu, covek trazi nevolje... Ne posecujte sporne sajtove, ne startujte programe koji su diskutabilni
3. Ako je za fajl napisano da je film, zasto je onda u EXE formatu? Zato sto ce vam instalirati Adware da bi vam raspakovao film. Uglavnom se radi o NSIS instalerima, jer njih retko koji AV program ume da skenira. Upoznajte se malo sa ekstenzijama fajlova, koja predstavlja koji tip fajla.
4. Iskoristite pogodnosti koje vam donosi HOSTS fajl.
Host fajl (c:\WINDOWS\system32\drivers\etc\hosts) je fajl cije ja prvobitna namena da sluzi kao svojevrstan lokalni DNS resolver, ali se moze iskoristiti za preusmeravanje saobracaja. Pitate se koja je korist i steta od ovoga?
Steta moze da nastane ako vam neki maliciozni program svaki vas pokusaj da otvorite Google sajt preusmeri na neki drugi sajt.
Korist: zamislite da imate spisak svih sajtova/adresa koje su poznate po tome sto pokusavaju da uvale nesto u vas komp. i da sve njih uspete nekako da blokirate. To se moze uraditi pomocu HOSTS fajla. Naravno da je mucno da to radite sami, ali nemate ni potrebe, posto neko vec brine o tome.
Sa sledeceg sajta mozete skinuti lepo sredjen HOSTS fajl: http://www.mvps.org/winhelp2002/hosts.htm
Potrebno je da HOSTS fajl sa ovog sajta iskopirate preko vaseg.
Nakon upotrebe ovog fajla, moze da se desi da vam na nekim sajtovima ne budu prikazane slike, a to je bas iz razloga sto su te slike imale svoju skrivenu svrhu koja je sada blokirana.
Da ne spominjem samo koliko ce ovo 'olaksati' surf korisnicima dial-up-a.
Druga mogucnost je program IE-SpyAd ( http://www.pcworld.com/downloads/file_description/0,fid,23332,00.asp ) namenjen u iste svrhe (moja preporuka je ipak hosts fajl sa prvog sajta)
5. Batalite Yahoo!, ICQ i MSN Messengere jer su uvek na udaru. Koristite besplatne alternative (MirandaIM, aMSN, GAIM). Jeste da nemaju sve mogucnosti originalnih programa, ali nisu ni na udaru raznoraznih nevolja.
6. Nemate potrebe da jurite skupe programe protiv Adwarea i Spywarea. Besplatna verzija Ad-Aware u kombinaciji sa SpyBot S&D su sasvim dovoljni.
7. Kada trazite pomoc od drugoga, lepo objasnite sta ste sve pokusali od gornjih saveta, pa tek onda postavljajte pitanja. Uz to, obavezno prilozite izvestaj programa Hijack This ( http://www.softpedia.com/get/Internet/Popup-Ad-Spyware-Blockers/HijackThis.shtml ), ukoliko je u pitanju Adware/Spyware.
8. Pop-up koji se pojavljuje i kada je browser iskljucen moze biti Messenger Service exploit,i lepo pise 'Messenger Service' na vrhu prozora sa reklamom.
Ukoliko ne pise to, a pop-up iskace sam od sebe, onda imate adware u nekom od aktivnih programa (primer: Cydoor u FlashGet programu)
9. Ukoliko se drzite gornjih saveta, svaki rudimentalni Firewall ce vam zavrsiti posao zastite od upada.
Najcesce postavljena pitanja za bobby-ja:
1. Q: Koji AV program koristis?
---A: Ni jedan, barem ne non-stop. Kada skinem neki program ili prijatelj donese CD - skeniram ga. To je meni dovoljno, ali ne posecujem za-odrasle-o/crack/warez/lame-hack sajtove (rekoh vec da covek trazi nevolje, ne one njega)
2. Q: Koji Firewall?
---A: Apsolutno ni jedan. Nisam shizofrenik, nista vazno nemam na ovom kompu sto ne bih delio sa drugima, krpim moj OS na vreme, sve sto mi je vazno snimam na CD-ove ili DVD-ove (backup na vreme).
3. Q: Koji browser?
---A: FireFox, i ne pada mi napamet da ga branim kada ljudi kazu da je i on busan. Ja samo kazem 'i on...' sa naglaskom na 'i'.
4. Q: I pored svega toga nemas problema?
---A: Nisam reinstalirao Windows vec 3 godine. Svaki problem koji sam imao sa zarazama sam resavao pomocu mog najboljeg prijatelja - cika-Googleta.
Zaglavio sam Beast 2 trojanca cim je izasao, i to - naseo sam na chatu. Od tog momenta je ova tematika pocela da me interesuje. Na Googletu sam nasao forum koji se bavio tim trojancem. Ubrzo sam saznao da je to forum pisca tog trojanca. Uclanio sam se na forum, i pisca (tataye) licno pitao kako da ga uklonim rucno (posto moj tadasnji AV program nije uspeo da ga ukloni zbog KATASTROFE br.2). Napisao mi je jedno duze upustvo slicno ovom ovde (samo sa vise tehnickih detalja), i jedno kratko upustvo u cetiri reda. Rekao mi je da mogu da odlucim koje da cu da procitam, ali da se njemu vise ne obracam za pomoc kada izadje nova verzija trojanca.
5. Q: Imas li neku preporuku za nas obicne smrtnike?
---A: Da bi se postavilo pametno pitanje, mora se znati barem pola odgovora...
Kada nekog zelite da pitate za savet u vezi sigurnosti, prvo procitajte ono sto je vec napisano, kakvi su drugima saveti dati, pa pitajte tek ako vam nesto nije jasno od toga. Niko ne voli da svakom ponaosob objasnjava redom sve, pocev od bukvara, sabiranja, pa nadalje.
6. Q: Kako znas toliko o virusima/trojancima ?
---A: Svemocni Google i sati/dani/meseci citanja, bez da jedan jedini put postavim neko pitanje (osim onog gore pod 4).
Odricem se svih potrazivanja na osnovu autorkih prava na ovaj tekst ukoliko se prenese u celosti. Isto tako, odricem se odgovornosti ukoliko se nestrucnim koriscenjem ovih upustava nanese bilo koji vid stete.
|
