Üdvözöl a(z) RedQueen
Főoldal Letöltések Cikkek Archívum Keresés
HTML JavaScript BIOS Dos Dreamweaver Turbo Pascal

Menü
· Főoldal
· Archívum
· Cikkek
· Dokumentumok
· Észrevételek
· Keresés
· Letöltések
· Nyomtatható

Keresés
Google


KeyGen Keresés


Ajánlat
RedQueen

Vírusok: Trójai Programok eltávolítása és Felderítése.
Dátum: 2004. július 07. szerda, 10:47 Szerkesztő: TDK

PC védelemmel kapcsolatos információk A trójai programok definíció szerint olyan programok, amelyek valami mást csinálnak, mint amit a felhasználó elvár, illetve olyan tevékenységeket folytatnak, amirol a felhasználó nem tud. Fontos, hogy a trójai programok NEM VÍRUSOK! Önálló programként is képesek muködni. Veszélyesek, mert segítségükkel valaki könnyedén ellophatja titkainkat, hozzáférhet jelszavainkhoz, lemásolhat fájlokat és szoftvereket a gépünkrol, anélkül, hogy tudomást szereznénk róla. Most leírom, hogyan terjednek a trójai programok, hogyan lehet felismerni, ha a gépünkön van egy, valamint néhány módszert a megelozésre és a kigyomlálásukra.



A trójai programok terjedését az IRC nagyban segíti. Szinte kivétel nélkül a Windows operációs rendszerre íródtak. A kezdõ felhasználókat gyakran ejtik át rosszindulatú tapasztaltabbak, akik szórakozásból, vagy ingyen internet-elérés megszerzésének reményében veszik rá a kezdoket arra, hogy feltegyék a trójai programokat. Fontos tudni, hogy a trójai programok általában önálló programok, amelyeket eloször elindítva telepítjük fel a gépünkre a veszedelmes eszközt. Tehát az elso indítás. Ha ismeretlentol, nem megbízható helyrol kapunk egy programot (.exe, .com vagy .dll, esetleg ritkán .sys kiterjesztésu fájlokat), ne fogadjuk el, annyira nem lehet rá szükségünk. Ha mégis elfogadtuk, még nincs gond, ne indítsuk el! Ha nem indítjuk el, nem kerül bele a memóriába, és nem tud kárt okozni.
Sok trójai program képes arra, hogy mint egy vírus, más programokhoz tapadjon hozzá. Az ilyeneket pl. játékprogramba vagy más, hasznos segédprogramnak mondott programba ágyazzák bele a ravaszok. Ha nem indítjuk el, nem lehet baj. Sokszor nagyon ravasz trükköket vetnek be, hogy rávegyenek bennünket az elindításukra. (Egy idoben gyakori volt, hogy az elterjedt amoba-programba rakták bele, és megkérték az áldozatot, hogy játsszon velük egy partit. Ha szerencséjük volt, az áldozatnak még nem volt meg ez az amoba-program, és "nagylelkuen" elküldték neki, természetesen egy trójai programmal megfertozve.)

Ha arra gyanakszunk, hogy trójai program fut a gépünkön, ellenorizzük a következo dolgokat.

1. Registry.

A registry-t rendszerleíró adatbázisnak "magyarították". Sok minden más egyéb funkciója mellett itt tárolják, hogy mely programokat kell elindítani, amikor a Windows betöltodött. A Start>Programok>StartUp menüben is elhelyezhetünk programokat, amelyek indításkor automatikusan elindulnak, de a trójai programok ide nem helyezik magukat, mert ezt nagyon könnyu felismerni. A registry létezésérol viszont a kezdo felhasználó nem is tud. Válasszuk a Start>Futatás menüpontot, és írjuk be: "regedit". (Idézojelek nélkül.) Ekkor megnyílik a regisztrációs adatbázis szerkesztoprogramja. A bal oldali szerkezetben navigáljunk a HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion mappába, és kattintsunk a Run mappára. Jobboldalt megjelenik a Run mappa tartalma. Ez a mappa tartalmazza azokat a programokat, amelyek a rendszer indításakor automatikusan elindulnak. Sok olyan dolgot találhatunk itt, amirol nem tudjuk, micsoda. Minden programhoz van megadva elérési út is. Ha nincs, az azt jelenti, hogy valószínuleg a Windows könyvtárban található, de rá is kereshetünk a fájlnévre a Start>Keresésmenüponttal. Mindegyik programról derítsük ki, hogy melyik könyvtárban van.
A trójai programok általában a Windows könyvtárban helyezkednek el (ha vannak), és általában nincs odaírva elérési út, csak a fájlnév. Ez azért van, mert ha nem írunk elérési utat, akkor a Windows eloször a Windows könyvtárban nézi meg, hogy ott van-e a fájl. Ha a trójai program máshol lenne, akkor oda kellene írni az elérési utat is, és ez lebuktatná, mert egy Windowsos számítógépen majdnem biztos, hogy van Windows könyvtár, de ha más könyvtárba akarná magát rakni, akkor esetleg létre kellene hoznia a megfelelo könyvtárat, amelyben azután csak a trójai program lenne. Emiatt majdnem bizonyos, hogy azok között a programok között kell keresnünk a kakukktojást, amelyekhez nincs elérési út írva, vagy a c:windows -ban vannak. A Windows jó muködéséhez alapvetoen három program kell innen: a "C:WINDOWSscanregw.exe /autorun", az "internat.exe" és a "SysTray.exe" (illetve csak az utóbbi ketto, az elso javasolt). A többi program rendszerenként változhat, attól függ, hogy milyen programok vannak a gépre telepítve, stb. Mindegyiket ellenorizzük, és ha olyat találunk, amelyikrol nem tudjuk, micsoda, függesszük fel! Ehhez kattintsunk jobb gombbal a nevére, válasszuk a Rename pontot, és a program neve elé (pl. "internat.exe"), de az idézojelen belülre írjuk be "rem " (így lesz belole "rem internat.exe"). Ezt hajtsuk végre az összes gyanússal, majd lépjünk tovább. A következo hely, ahol trójai programok gyakran megbújnak, a RunServices mappa. Itt ismételjük meg a muveletet. A biztonság kedvéért nézzük meg az összes "Run"-nal kezdodo mappát. Ezután zárjuk be a registryt és indítsuk újra a gépet.
Ha rendellenes muködést tapasztalunk, vagy a gép nem indul el, csökkentett módban indítsuk, és töröljünk ki egy-két "rem"-et, csak amelyikrol úgy gondoljuk, hogy feltétlen szükséges programot függeszt fel.
Elofordulhat, hogy olyan programot is felfüggesztünk, amelyikre szükségünk van, mint pl. Norton CrashGuard vagy akármi. Ilyenkor szintén szedjük ki elole a rem-et. Csak a gyanúsak elott maradjon. Ha újraindítás után a gép pontosan ugyanúgy viselkedik, mint elotte, és minden program, amire szükségünk van, elindult, akkor a felfüggesztett sorokat törölhetjük a registrybol. (FIGYELEM! Javasolt pár napi próbaüzem után tenni ezt. Lehet, hogy késobb kiderül, hogy mégis szükségünk van egy sorra.)

2. Win.ini

Válasszuk a Start>Futatás menüpontot és írjuk be: "win.ini". A win.ini fájl szintén beállításokat tartalmaz, és még régrol maradt a Windows-ban, már a Windows 3.0 is tartalmazta. (Illetve lehet, hogy az azelotti verziók is, azokhoz nem volt szerencsém.) Keressünk benne (valahol az elején) olyan sort, ami úgy kezdodik, hogy "run=" és "load=". Bármi áll ezen elotagok után, töröljük (nekem sok minden van installálva, de mégsincs ott semmi). Tehát pl volt "run=valami.exe", akkor a valami.exe-t töröljük, hogy csak "run=" maradjon. Ugyanezt a loaddal. is.

3. System.ini

Ugyanúgy nyithatjuk meg: Start>Run és "system.ini". Itt a "shell=" sorra vadásszunk, és ha nem "explorer.exe" van ott, akkor írjuk át arra.

4. Vírusirtás

Javaslom vagy a McAfee ViruScan-ját, vagy a Norton Antivirust használni, minél frissebb vírusadatbázissal, mert ezek nagyon sok trójai programot felismernek. Természetesen más vírusirtó szoftver is jó lehet, én saját tapasztalataimra támaszkodva javaslom ezeket.

5. Végsõ ellenorzés

Ha mindennel végeztünk, indítsuk újra a gépet. Ezután nyissunk egy MS-DOS ablakot, és írjuk be: "netstat -a". Ez kilistázza nekünk az összes TCP és UDP kapcsolatot. Ez a lépés kezdoknek valószínuleg nem mond semmit, viszont akik már tapasztaltabbak, itt le tudják ellenorizni, hogy van-e olyan port, amelynek nem kellene nyitva lennie. Ha van, akkor a portszám alapján utána lehet nézni, hogy melyik trójai program figyel tipikusan azon a porton, és ezután megkeresni ezen trójai program dokumentációjában, hogy hogyan lehet azt eltávolítani.

Sok trójai program telnet-protokollal muködik, azaz be lehet telnetelni a portjára, és egy meghatározott paranccsal le lehet magát töröltetni a lemezrol. Ezt általában azért építik bele ezekbe a trójai programokba, hogy a feladatuk végrehajtása után a nyomaikat eltüntessék. Ennek szintén az adott trójai program dokumentációjában nézzünk utána.

MEGJEGYZÉS: aki azt gondolja, hogy a neten fellelheto trójai-eltávolító programok használatával biztos kezekben van, az nagyon téved. Bárki írhat saját trójai programot (pl. akár te is), amit már se vírusirtó, se efféle programok nem fognak felismerni. A fent ismertetett módszerek segítségével felismerhetünk és eltávolíthatunk bármilyen trójai programot. További javaslatom, hogy használjunk valamilyen tuzfalprogramot (pl. Conseal PC Firewall), ezek megakadályozzák, hogy az internetrol a trójai programot szólongató idegen kommunikálni tudjon a trójai programmal, ezáltal kihúzzák a méregfogát (feltéve, hogy jól van konfigurálva). Akinek bármilyen kiegészítése, megjegyzése van, vagy tévedést talált a szövegben, kérem írjon az e-mail címemre. (linux5@intermail.hu)


 
Kapcsolódó linkek
· Több hír: PC védelemmel kapcsolatos információk
· Több hír: TDK


Legolvasottabb hír ebben a rovatban:
PC védelemmel kapcsolatos információk:

Trójai Programok eltávolítása és Felderítése.


Hír értékelése
Értékelés: 4.71
Szavazat: 21


Értékeld ezt a hírt:

Kiváló
Nagyon jó
Jó
Átlagos
Rossz


Parancsok

 Nyomtatható változat Nyomtatható változat

 Elküldés levélben Elküldés levélben


RedQueen
http://RedQueen.uw.hu
RSS Hírek RSS Letöltések

Fõoldal | RedQueenről | Kapcsolat | Fórum | Észrevételek

Cikkek, információk a számítástechnika világából, illetve programok letöltése ingyen a RedQueen© portálon.
"Ingyen és Szabadon"

Oldalkészítés: 0.375 másodperc