Egzorcyzmy: Wirus/robal na pendrive’ie

Jestem zdania iż najlepszym antywirusem jest ta śmieszna galereto-gąbka znajdująca się pomiędzy uszami. Dobrze rozwinięty i zaktualizowany potrafi nie tylko chronić przed zarażeniem ale także umożliwia usunięcie śmieci nie narażając użytkownika na przypadkowe skasowanie dobrych danych (lub uszkodzenie ważnych plików) czy też leniwe odmówienie posłuszeństwa z czym się spotkałem przy użytkowaniu antywriusowych software’owych (np: niewykrycie czy też nieusunięcie wirusa).

Dlatego na znak protestu jedynie stosuję firewalla, podczas gdy ja sam robię za antywirusa =^;^= Oczywiście czasem jest to uciążliwe gdyż trzeba poświęcić trochę czasu ale zyskuję w ten sposób wiedzę oraz pełną kontrolę. Przy okazji procesor nie jest obciążany przez skaner antywirusowy.

Udaje mi się zapobiegać zarażeniu w większości przypadków jednak czasem w wyniku zadziałania obcej ingerencji dochodzi do zakażenia. Jak dotąd jedynym wejściem do mojego systemu są… pendrive’y i współdzielenie komputera z rodziną.

Tak, właśnie to jest ostatnio moją zmorą. Najczęściej robak dostaje się z innego, zarażonego systemu poprzez pendrive (szkoła/znajomy) i choć niemal zawsze wykrywam go i unieszkodliwiam nim się zainstaluje to zdarza mi się na chwilę zapomnieć i w biegu uruchomić autorun.

Na dodatek spotkałem się z cwanym robalem który nie tylko “autorunizował” pamięć przenośną ale także partycje przez co gdy mój ojciec (swoją drogą używający antivira) zaraził komputer to otwierając swoją partycję też stałem się ofiarą tego świństwa o_O

Całe szczęście robale takie można dośc łatwo usunąć, choć wymaga to trochę czasu i wiedzy. Jak dotąd poradziłem sobie z 4 różnymi gatunkami ( 2 to były pliki exe, 2 zaś skrypty vbs), Mogę wręcz powiedzieć iż staje się to moim hobby

Ogólnie pierwszą rzeczą, jaką powinno się zrobić to w Opcjach Folderów zaznaczyć pokazywanie plików ukrytych ( z atrybutem +h), a także systemowych (+s). Dodatkowo warto włączyć opcję pokazywania znanych rozszerzeń plików (w ten sposób nawet jak wirus czy robal upodobni się do pliku graficznego poprzez ikonę to na końcu zobaczysz .exe co jednoznacznie stwierdza iż nie jest to plik graficzny).

Pierwszym poziomem zabezpieczeń jest otwieranie dysku poprzez kliknięcie prawym przyciskiem a nie dwuklik (który to uruchamia pierwszą, domyślną akcję – czyli może uruchomić autorun).  Na szczęście Windows automatycznie nie uruchamia autorunu zaraz po włożeniu napędu czyli tylko my możemy go uruchomić.

Drugim jest monitorowanie listy procesów – warto poznać jakie procesy są “naturalne” dla naszego systemu. Przykładowo na ogół proces wscript.exe należy skillować gdyż jest to środowisko uruchomieniowe dla skryptów vbs. Należy zapamiętać aby najpierw pozbyć się procesu – a potem usunąć jeog pliki exe/vbs/inf.

Spowodowane jest to tym iż nawet jak pliki te zostaną usunięte, cwany proces stworzy nowe. Właśnie chwilę temu miałem problem z identyfikacją procesu robala – cóż, może się zdarzyć i tak że nie zobaczymy żadnego podejrzanego procesu. Jednak w takim wypadku wystarczy użyć programu Filemon i usunąć pliki. Gdy się pojawią – zobaczyć który proces je stworzył. W przypadku xod32.exe (o ile dobrze pamiętam) był to… explorer.exe!

Co należy zrobić w takiej sytuacji? Otóż otworzyć program typu Total Commander (lub WinRAR ) a następnie skillować explorer.exe. Zniknie pulpit, paski, ikony etc ale otwarte programy będą nadal.

Teraz usuwamy pliki robala – czyli pliki autorun.inf oraz wszelkie exe,vbs, dll należące do wirusa. Dośc często są zakamuflowane w folderze RECYCLER. Folder ten można spokojnie usunąć (system go przywróci). Warto też sprawdzić autostart oraz klucze rejestru (np: poleceniem msconfig). Po usunięciu śmieci tworzymy proces explorer.exe i obserwujemy czy pozbyliśmy się robala. W moim przypadku to wystarczyło

Trzecim zabezpieczeniem jest usunięcie wscript.exe. Dla 99% ludzi jest zbędny, za to jest bardzo pomocniczy niektórym administratorom oraz twórcom robali -_-

Inna technika ninja to najłatwiejszy sposób na stworzenie prostej ochrony przed zarażeniem jest stworzenie pustego pliku o nazwie takiej jak nazwa wirusa. Czyli np: jeśli wirus nazywa sie MS32DLL.vbs to tworzy się ten plik na pendrivie – ogólnie bowiem zuoo sprawdzi czy ten plik istnieje – jak nie to go stworzy.

W tym przypadku plik istnieje – mimo więc iż nie jest to zuoo soft – nie zostanie nadpisany i pendrive będzie bezpieczny Tą techniką pozbyłem się najbardziej chamskiego robala z jakim sie spotkałem – UFO.exe (tak swoją drogą to panowie z Avasta od dłuuugiego czasu nie potrafią tego wykryć ani usunąć ),

Uff trochę się rozpisałem W każdym razie jestem dowodem na to iż można żyć bez antywirusa. Ale, ale – nie każdy tak może   Mój wujek chciał byc taki jak ja – odinstalwał więc antywirusa. System miał świeży i czysty (po formacie). Po 2 dniach musiałem znowu formatować bo system padł xD

Aha no i dotyczy to wszystko tylko windows’a – na linuksie jak dotąd nie spotkałem się z takimi problemami =^;^=