Windows Worms Doors Cleaner
Platforma: Windows 2000/XP/2003
Licencja: freeware
Strona domowa: http://www.firewallleaktester.com/
WWDC to aplikacja do zamykania kluczowych wyżej opisanych portów. Przeprowadza wszystkie akcje
blokerskie bez użycia dodatkowych procesów - tylko i wyłącznie edycje rejestru (opisane we wstępie).
Prócz faktu sprawdzania czy rzeczywiście dana usługa jest w rejestrze wyłączona, przeprowadza
dynamiczną detekcję czy usługa nadal pracuje w tle (z wyjątkiem DCOM). O co chodzi: w rejestrze może
zostać wyłączona ale jeśli komputer nie był resetowany proces usługi może być nadal aktywny.
Konfiguracja programu i zamykanie portów są bardzo proste:
PODSTAWOWA OBSA
UGA PROGRAMU:
Port otwarty
Port zamknięty
Port zostanie zamknięty po resecie
Każdy czerwony znaczek należy zamienić na zielony przez buttonik "Disable ..." i dla wprowadzenia
zmian zresetować komputer. Od góry do dołu zielono równa się wzorowe zabezpieczenie. Poniżej opis
kilku szczegółów towarzyszących zamykaniu określonych portów i wytłumaczenie zawiłej historii żółtych,
które nie zawsze oznaczają dosłownie "zamykanie po kolejnym resecie komputera".
DCOM RPC
Tutaj należy spojrzeć na wstęp tematu i opis portu 135: klik. Było tam wzmiankowane iż z tego portu
korzysta usługa Harmonogramu zadań. WWDC uzwględnia ten aspekt i podczas próby zamknięcia portu
zadaje pytanie czy deaktywować tylko DCOM czy całkowicie zamknąć port.
Wybranie odpowiedzi Yes całkowicie zamknie port, wybranie No zaadresuje tylko wyłączenie samego
DCOM. Po wybraniu stosownej opcji otrzymacie zawiadomienie o ustawieniu blokady z prośbą o
zresetowanie komputera w celu wdrożenia zmian. Po resecie komputera jeszcze jedna szansa. WWDC
poinformuje iż DCOM jest zdeaktywowane ale port 135 ciągle otwarty i zaproponuje kolejne wybieranie
opcji.
Wybranie Yes "domknie" port zaś wybranie No pozostawi sytuację bez zmian (tylko DCOM wyłączone).
Na koniec zawiadomienie o pomyślnym ustawieniu i ponowna prośba o reset.
NetBIOS
Ponownie rzut okiem na wstęp tematu i opis portów 137-139: klik. WWDC przewiduje dwa scenariusze.
Podczas blokowania portu zada pytanie czy wprowadzić domyślne ustawienie "NetBIOS na życzenie" czy
też całkowicie go wyłączyć.
Wybranie odpowiedzi No oznacza całkowite wyłączenie NetBIOS = ta odpowiedz
skutkuje NetBIOSem
zaznaczonym na zielono. Wybranie odpowiedzi Yes spowoduje przestawienie typu startowego usługi
NetBIOS na Ręczny czyli NetBIOS nie startuje automatycznie ale uruchomi się w razie potrzeby = ta
odpowiedz
skutkuje NetBIOSem zaznaczonym na żółto:
Żółty jest traktowany jako poprawny i wg "terminologii" akcji WWDC oznajmia iż port jest "zamknięty" (a
przynajmniej zabezpieczony). Nie jest to do końca prawda gdyż takie ustawienie zostawia tylną furtkę =
NetBIOS może się w każdej chwili uruchomić (co zresztą zwykle czyni zaraz pod podłączeniu sieci). Jest
to ustawienie asekuracyjne na wypadek gdyby połączenie sieciowe potrzebowało NetBIOS do swojego
funkcjonowania. Odpowiedz
Yes należy wybrać wtedy jeśli wybranie odpowiedzi No skutkuje brakiem
dostępu do internetu.
UPnP / Messenger
Wszystko wytłumaczone wielokrotnie i nie ma co gdybać tylko porty Universal Plug and Play i Posłańca
zamykać. Nie powinno być z tym trudności ale w ramach wyjątku może się okazać że stoją przy nich
żółte znaczniki i nie chcą się zamienić na zielone mimo resetu komputera. Wtedy należy skorzystaj z
ręcznej metody zamykania. Specjalnym przypadkiem może być błąd:
"Value in registry can't be opened"
Program przy uruchamianiu może poczęstować takim błędem a w zależności z czym ma trudność treść
błędu będzie odmienna:
Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\upnphost\)
Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\Messenger\)
Value in registry can't be opened (SOFTWARE\Microsoft\Ole\)
Value in registry can't be opened (SYSTEM\CurrentControlSet\Services\NetBT\)
Ten błąd może mieć następujące wytłumaczenia: WWDC nie ma dostępu / uprawnień do klucza rejestru
lub klucz rejestru nie istnieje. W pierwszym przypadku należy skorzystać z instrukcji wstępu tego
tematu i ręcznie dokonać blokad. W drugim przypadku przeważnie będzie chodzić o ten fakt:
UWAGA: Błąd "Value in registry can't be opened ..." występuje na specjalnych modyfikowanych
wersjach Windows (tworzonych ręcznie przez nLite z opcją usuwania komponentów lub gotowych typu
PowerXP czy TinyXP) i jest to w tym przypadku naturalne. Te Windows mają z natury wycięte usługi
UPnP i Posłaniec stąd WWDC nie może otworzyć ich kluczy (heh skoro ich nie ma) i wprowadza w błąd
żółtym znaczkiem. A nic nie trzeba korygować.
Komunikat WWDC:
Komunikat tego "błędu" to zawiadomienie iż jest wielce prawdopodobna infekcja gdyż zarezerwowana
pamięć dla SVCHOST przekroczyła dopuszczalne limity i wygląda iż w pamięci czai się szkodnik. Zalecany
skan. Tej ewentualności nie można wykluczyć. Z drugiej strony w TYM temacie wyjaśniłam iż detekcja
tylko po rozmiarze pamięci jest ułomna i nie może być wyznacznikiem obcego szkodliwego ciała w
memory bo może tam siedzieć .... sterownik a nie wir (ostatnio napuchnięty svchost.exe jest modnym
objawem działania Automatycznych aktualizacji). Wprawdzie temat pyta o pewną wariację problemu i
inny typ pamięci ale chodzi o sam fakt oceniania wg formuły sajzu.
Poza tym sam WWDC miał kiedyś detekcję svchost RAM usage check, którą .... usunięto (zgadnij
dlaczego ) a limit dla svchost virtual memory usage check zwiększono (znów zgadnij dlaczego ).
Wniosek: to tylko przypuszczenia programu a nie pewność czy fakt! WWDC można uruchomić bez tego
sprawdzania pamięci = patrz poniżej na parametr -nowormscheck.
ZAAWANSOWANA OBSA
UGA PROGRAMU:
Windows Worms Doors Cleaner może być również obsługiwany z linii komend pozwalając dokonać tych
samych akcji co wyżej (sprawdzić stan usług oraz je wyłączać / włączać) plus akcję extra (wyłączenie
tego denerwującego sprawdzania pamięci sygnalizującego infekcję na podstawie zbyt dużego rozmiaru
svchost). Przydatne dla:
- Dla zwykłego domowego użytkownika, który chciałby regularnie sprawdzać status usług, czy nie uległy
ponownemu włączeniu po jakiejś aktualizacji.
- Administratorów sieciowych wykorzystujących skrypty trybu batch uruchamiane jako zaplanowane
zadanie w celu hurtowego wyłączenia wybranych usług w całej sieci.
Dostępne parametry:
Wyłączanie / włączanie usług:
-dcom:enable/disable
-locator:enable/disable
-netbios:enable/disable/manual
-upnp:disable/enable
-messenger:disable/enable
Opcje startowe WWDC:
-startup:dcom,locator,netbios,messenger,upnp
-nowormscheck
Zatwierdzanie resetu:
-reboot:yes/no
Przykłady tworzenia skrótów:
Tworzymy skrót do programu WWDC w dowolnym miejscu np. na Pulpicie lub w menu Autostart (zależy
co chcemy uzyskać). Następnie z prawokliku na skrót wybieramy jego Properties / Właściwości i w Target
/ Element docelowy umieszczamy po ścieżce dostępu -parametr (tak, z minusem przed).
Poglądowe przykłady:
1. Wyłączenie sprawdzania pamięci svchost na starcie przez parametr:
Parametr -nowormscheck ma być wpisany po zamknięciu cudzysłowiem a nie przed a spacja ma być w
tym miejscu:
"...........\wwdc.exe"[spacja]-nowormscheck
2. Sprawdzanie na starcie statusu usług Posłaniec i Universal Plug and Play przez parametr:
"...........\wwdc.exe"[spacja]-startup:messenger,upnp