85558 ScanImage32 (3)

;a-

i

Sprawdzamy pliki systemowe ^ W

W!

i

? Trudne terminy

iele groź^J nych programów zmienia zawartość plików syste-mowych, takich jaki t>system.tnil

T WloWeii;c | iyvtem.ini iytlrm.ini |

a t* CAU' **    'tfira* Q

:[dciyaroj wav.^.mredcv. dli tl«ot-tii»«r. drv

:[mci]

•[driv«rtZl :[3B6oTih]

; woafont-app852.FON -EOABOWPA. rOH=£GAB0852. FOH EGA40WOA.FOK«8GA40BS2. PON .CGAR0WOA.FON=CGA8085Jt.FON ■CX»A40WOA. FOH-CCSA4 0852. PON

["4boot.ini i oraz i jwh.wl. obecność na dysku wirusów czy robaków możemy wykryć właśnie na podstawie zmian w tych plikach.

Analizowanie plikówE?system.ini I. lijfrboot.jnij orazli^win.inil jest jednak trudne - musimy mieć dużą wiedzę o ich zawartości oraz działaniu Windows. Inaczej nie rozpoznamy wpisów dokonywanych przez groźne

? Ekspert radzi

Poniżej znajdziemy ścieżki dostępu do plików systemowych. Pamiętajmy, że dokumenty te są ukryte - zanim wykonamy ich kopię, musimy włączyć ich wyświetlanie w ustawieniach Eksploratora Windows #.    •*

jOgfrw i Widok ; Typy pików} Płki tijtu cdfflno;__

j Widoki loboru

Widok, któfego uźy/va:z dla tego foldotu (laki jak Szczegóły lub _;    Kafofci). możetz zasłotować do wwysłkich fcWetów

jZgitołuj do wKyrikich loMctów | | So^oM Włzyalkie folday~|

U tiawenia zaawansowono:    ___

□    Pr*ywóć poprzednia okna folderów po zalogowaniu

□    Ukryj ckrcriono piki systemu opwdcjywgo (zalecane) >□ Ukryj roMzereenia znanych typów pfików

Ukryta piki i loldeiy

O Nia pcótazuj ukrytych p2ik6vr i loWetów —3»»0 Pokai ukry<e płki I Iddety_

j»jestem, inii - C:\Windows\system.ini jni |- C:\boot-lni

i |jt9 win.mil - C:\Windows\win.ini

16-bit app oupporc [di-iv?ro] u.wn-mr«.drv. dli t lJiusr=.xin«r. drv

[mci]

;[drivor32]

'• [33óonh]

W»afont-app052.FON EOA80WOA. FO|I^EGA0O0S2. FCN 8CA4CWOA. FOH-ECJA4G8S2. HC« OC.ABOWOA rOI«-CGA80S52. POT

^aiOżm- ITDaa.CGMmS2_ŁCi,'L. ^ł [ bo,ot 1 r~~    -

programy - mogą być bardzo różnorodne. Ale istnieje rozwiązanie w postaci porównania aktualnej wersji tych plików z wcześniejszą kopią.

IPo zainstalowaniu systemu (lub kilku systemów) wszystkich ważnych sterow-> ników oraz aplikacji wykonujemy kopie pli-' kÓW |_J>system.inT„ I^boot.jnlj oraz ^winJnlj #.

[ Duplikaty zachowujemy w dowolnym fol-| derze. na przykład Hu3 c:\zapw 1.

i

2 Gdy podejrzewamy, że na dysku obecny jest groźny program, ale nie możemy go wykryć, musimy porównać zawartość zachowanych kopii plików systemowych z ich obecnymi wersjami. W tym celu najprościej użyć darmowej aplikacji WinMerge. Pobieramy program ze strony ©. Instalujemy i uruchamiamy aplikację. W oknie programu klikamy na [gik] i IPń EgrównajTĘ. w nowym oknie klikamy na H~ a "potem na Wskazujemy dwa pliki, które chcemy porównywać •. Klikamy na [Porównali.

>ł malware - nazwa programów działających na szkodę użytkownika. Należą do nich nie tylko wirusy, robaki i konie trojańskie, ale także dialery, narzędzia hakerskie, kreatory wirusów, programy szpiegujące (spyware), fałszywe alarmy wirusowe rozsyłane e-mailem (hoaxes), a nawet jokes - programy symulujące infekcje.

» skanowanie heurystyczne - metoda wykrywania nowych zagrożeń, których sygnatur nie ma jeszcze w bazie wirusów. Wybranie funkcji zaawansowanego skanowania heurystycznego może spowodować częste wyświetlanie fałszywych alarmów. Więcej na temat tej technologii skanowania znajdziemy w numerze 11/2005 na stronie 82.

3 Jak widać, w aktualnie używanym przez system pliku' J>system.mi] pojawiły się dodatkowe dwie linijki (zaznaczone kolorem jasnobrązowym). W tym wypadku zawarty w nich kod dotjrczjz uruchamiania aplikacji udającej Internet Explorera •.

Po zauważeniu zmian nie powinniśmy samodzielnie usuwać danych - mogą to być poprawne komendy, niezbędne do działania systemu. Zamiast tego zaznaczamy dodany kod i kopiujemy go do schowka.

Google

^7

Sieć

Porado: 5

Sl*< Grafiką Grupy rfyskunylrm Katalog włącil h :%Systam%\Wicro50fńjexplofeBX3 system.ini'

C*) Szukaj w Inlarnoci# O Szukaj na stronach kategorii: język polski

Wyniki 1 • 7 ąpoirtd około 3 dła zupytania $lialhExploiai.«x

v Możesz okrasili av»ói lozvk wyszukiwania w Ustawaniu

Wm32/KipisK

K modifio* ■tyatem.lnl' lo insure that ił is executed on Windowi etaitup:. SYSTEM.INI [boot] SI»»Il»Expfo«ai.exo %Sytiani%\Mlciocoft^,l*xplo(«.«xa...

yww<i.ca.eom'sccunty»itrt»ijiAtn)jinfdMru5 »ep*?ID=579Q2 - 35k    * Podobne Miony

Obiekty do porównania j Lewa: j C:\2apas\sy5tem.ini

Brawa: \ C:\WlNDOWS\system.N j EJltr: jV

Wybierz. ■

4 Nieznany kod wklejamy razem z nazwą pliku I jĘsystem.inij do wyszukiwarki internetowej. Uruchamiamy wyszukiwanie.

W tym wypadku znaleźliśmy informację, że

dany wpis jest dodawany przez wirus ----

Klikamy na jeden z odnośników, aby przeczytać więcej o groźnym programie i sposobach jego usuwania.

Sposób na rootkity ^m

Rootkity to stosunkowo nowy rodzaj groźnych programów. Po raz pierwszy zaczęło być o nich głośno w 2004 roku. Rootkity to aplikacje penetrujące działanie systemu i blokujące pracę niektórych usług. Same w sobie rootkity raczej nie szkodzą. Zwykle są zaprojektowane tak, aby ukrywać działanie innych aplikacji, na przykład zainstalowanych w pececie trojanów.

Większość użytkowników nie radzi sobie z wykrywaniem rootkitów oraz usuwaniem ich z dysku twardego. Wykrycie rootkita

Ta

i Alternatywne programy

Nazwa programu

McAfee Rootkit Detectiw Panda

Antl-Rootkit

Opis

program wykrywa i usuwa rootkity znajdujące się w systemie maia aplikacja usuwająca rootkity

Step 1 -Scan for hidden items

Scan largefs:

Hidden proceases Hidden files and folder®

Sfałus:

Scan nof sterted.

Jak działa rootkit

w zarażonym systemie jest trudne, ponieważ tego typu programy są w stanie zakłócić pracę nawet wyspecjalizowanych narzędzi do ich usuwania - tak by błędnie informowały, że system jest czysty.

1 Instalujemy z płyty Eksperta program F-Secure BlackLight Beta. Uruchamiamy aplikację. W głównym oknie aplikacji jdika-my na •. Program rozpocznie skanowanie naszego komputera w poszukiwaniu rootkitów.

Strona WWW

www.mcafee.com

Be

i

API

działające sterowniki procesy i usługi jądro systemu

aplikacje

drożna aplłkacj sprytnie zainfekowała system - udaje proces lub usługę

Rootkit filtruje dane przesyłane między systemem a aplikacjami. Informacje o działaniu trojana lub wirusa są blokowane

Programy ochronne nie wykrywają rootkita i groźnej aplikacji

W Warto zajrzeć.

R

Rootkit

Revealer

1 UnHackMe

program wykrywa i usuwa rootkity znajdujące się w systemie

chroni komputer przed trojanami i rootkitami, program pracuje w tle i na bieżąco monitoruje i chroni nasz system

www.pandasoftware.com

wwv. microsoft.com/technet/ sysinternals/Security/ RootkitRevealer.mspx

www. greatis.com/ unhackme

2 Po zakończonym skanowaniu, jeżeli program wykrył rootkita na naszym komputerze, klikamy na |Nem>l. Aplikacja rozpocznie usuwanie odnalezionych rootkitów.    KD ■

Adresy WWW:

O www.sarc.com/avcenter/venc/data/w32.kipis,n@mm.hlml © www.symantec.pl

©http://forum,dobreprogramy.pl/viewtopic.php?t=36654 O http://forum.dobreprogramy.pl/viewfo-

_rum.php?f=16&sid=424a79d491d57al4c4f812b3bl23bac8 ©http://winmerge.org/downloads.php ©www.ks-ekspert.pl/archiwum/200702/przywracanie.pdf 9 www.symantec.com/enterprise/security_response/threatexplorer/ threats.jsp

9 www.virus-radar.com/stat.01_current/index.enu.html 9 http://kaspersky.pl/viruswatch.html 9 www.rootkit.com

ekspert

LUTY 2007 29